standardna uspostava upravljanja sigurnosti u...

SVEUČILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA

DIPLOMSKI RAD br. 1716

Standardna uspostava upravljanjasigurnosti u informacijskim sustavima

Ivan Poljak

Zagreb, ožujak 2008.

Zahvaljujem prof. dr. sc. Nikoli Bogunoviću na strpljenju

i podršci koju mi je iskazao tijekom izrade ovog rada.

Hvala roditeljima na razumijevanju i iskazanoj

dobroj volji tijekom svih godina studija.

Zahvaljujem prijateljima na korisnim

savjetima koji su pridonijeli kvalitetnijem radu.

Posebno zahvaljujem Anici na pomoći koju je

iskazala u kritičnim trenucima izrade rada.

Mentor: prof. dr. sc. Nikola Bogunović

Student: Ivan Poljak

Matični broj: 36338429

Datum: 25. ožujak 2008.

i

Sažetak

Sigurnost informacija u nekom sustavu je realnost i potreba. Izgradnja

upravljivog sustava sigurnosti je nužnost u poslovnom svijetu, ali sve više i u

ostalim organizacijama. Ovaj rad opisuje uspostavu sustava upravljanja

sigurnošću informacija (ISMS) na realnom primjeru srednje škole, sukladno

preporukama normi ISO/IEC 27001 i ISO/IEC 27002. U radu su istaknuti koraci

izgradnje i uspostave sustava upravljanja sigurnošću kao i izvršene pripreme za

certificiranje.

ii

Sadržaj

1. Uvod .........................................................................................................1

2. Općenito o ISMS-u....................................................................................2

2.1. ISO ........................................................................................................2

2.2. ISO/IEC 27001:2005 Sustav upravljanja informatičkom sigurnošću

(eng. Information Security Menagment System – ISMS )......................4

2.2.1. Povijest ISO 27001:2005 ...................................................................4

2.2.2. ISMS..................................................................................................6

3. Primjer uspostave ISMS-a ......................................................................10

3.1. Uvod....................................................................................................10

3.1.1. NKG – Nadbiskupska klasična gimnazija ........................................10

3.2. Uspostava ISMS-a (PDCA model – PLAN) .........................................12

3.2.1. Uvodno o uspostavi ISMS-a ............................................................12

3.3. Analiza informacijskog sustava NKG-a ...............................................13

3.3.1. Sigurnosna politika ..........................................................................14

3.3.2. Organizacija sigurnost .....................................................................15

3.3.3. Upravljanje imovinom ......................................................................17

3.3.4. Sigurnost ljudskog potencijala .........................................................19

3.3.5. Fizička sigurnost ..............................................................................20

3.3.6. Upravljanje komunikacijama i operacijama ......................................21

3.3.7. Kontrola pristupa..............................................................................29

3.3.8. Nabava, razvoj i održavanje informacijskog sustava .......................32

3.3.9. Upravljanje sigurnosnim incidentom ................................................34

3.3.10. Upravljanje poslovnim kontinuitetom ........................................35

3.3.11. Sukladnost ................................................................................36

iii

3.4. Upravljanje Rizikom.............................................................................37

3.4.1. Procjena rizika .................................................................................37

3.4.2. Metodologija procjene rizika ............................................................38

3.4.3. Klasifikacija podataka – vlasnički aspekt .........................................41

3.5. Probojnost sustava NKG-a..................................................................42

3.6. Rezultati Analize..................................................................................43

3.7. Smanjivanje i evaluacija rizika.............................................................51

3.8. Izjava o primjenjivosti (engl. Statement of Applicability - SOA) ...........53

4. Implementacija i rad ISMS-a (PDCA model – DO)..................................66

4.1. Troškovi implementacije ISMS-a .........................................................68

4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavom ...........................69

4.3. Upravljanje imovinom (resursima) i dokumentacijom ISMS-a .............69

5. Nadgledanje i kontrola ISMS-a (Check)..................................................70

6. Održavanje i unapređivanje ISMS-a (eng. Act , Improve) .......................71

7. Osnovno o dokumentiranju .....................................................................72

8. Zaključak.................................................................................................77

9. Literatura.................................................................................................78

Dodatak A: Dokumenti ISMS-a u Nadbiskupskoj klasičnoj gimnaziji ...........80

Dodatak B: Inventura imovine NKG-a .......................................................105

iv

Popis oznaka i kratica

ISMS Sigurnosno upravljivi informacijski sustavISO Svjetska organizacija za standardizacijuNKG Nadbiskupska klasična gimnazijaCARNet Hrvatska akademska i istraživačka mrežaOS Operativni sustavAD Active DirectoryUPS Uređaj neprekinutog izvora napajanja (eng. Uninterruptable Power

Supply)DSL Digitalna pretplatnička petlja (eng. Digital Subscriber Loop)Wi-Fi Bežična mreža (eng. Wireless-Fidelity - IEEE 802.11)LAN Lokalna mreža ili „unutarnja mreža“ (eng. Local area network)

Uvod

1

1. UvodPoznavanjem informacija čovjek postaje uspješniji u svom radu i kreativnom

stvaranju, sprječava nezgode, loša rješenja i odluke, neutralizira greške, smanjuje

utjecaj nepredviđenih situacija. Pravodobna informacija u današnjem svijetu

predstavlja pravo zlato, pogotovo u financijskom svijetu. Informacija postaje

sredstvo trgovanja. Naravno, kako informacija ima neku vrijednost, ona postaje

metom krađa, zloupotrebe, diskreditacije. Kao što nas povijest uči, informacije se

moraju čuvati te pohranjivati za buduće naraštaje.

Što je informacija? Na početku, koliko god ovaj pojam bio sam po sebi

razumljiv, mora imati svoju definiciju. Informacija je podatak s određenim

značenjem, odnosno saznanje koje se može prenijeti u bilo kojem obliku

(pisanom, audio, vizualnom, elektronskom ili nekom drugom). Da bi se informacije

što lakše i jednostavnije obrađivale potrebno ih je na adekvatni način klasificirati,

potanko im odrediti svrhu, vrijednost, dostupnost i ostale atribute. U takvom

okruženju, razvojem računala, sustavi za upravljanjem informacijama postaju

stvarnost i obveza organizacija kojima je informacija srž djelovanja. Takve

organizacije su među prvima uvele i pojam informacijske sigurnosti. Taj pojam se

ne odnosi isključivo na tehničke mjere zaštite (korisnička imena, zaporke,

enkripciju, prava pristupa i sl.), već podrazumijeva i administrativne mjere

(sigurnosna politika, pravilnici, procedure) i fizičke mjere (video nadzor, zaštita

prostorija, fizička kontrola pristupa). Kako bi informacijski sustav bio zaštićen na

pravi način, potrebno je uspješno uskladiti, implementirati i nadzirati sve potrebne

mjere zaštite.

U današnje vrijeme uspostava sigurnog informacijskog sustava je

prepoznata kao potreba pa se razvijaju brojni standardi koji uključuju najbolju

praksu i preporuke o upravljanju sigurnosti informacijama. Sama uspostava

sigurnog informacijskog sustava tema je ovog rada gdje će se na konkretnom

primjeru srednje škole objasniti sama implementacija i rad sustava.

Općenito o ISMS-u

2

2. Općenito o ISMS-u

2.1. ISOISO – Svjetska organizacija za standardizaciju (eng. International Organization

for Standardization )

ISO je mreža nacionalnih organizacija (institucija) za standardizaciju, a uključuje

više od 157 zemalja sa sjedištem u Ženevi (Švicarska) gdje se koordinira rad

čitavog sustava.

Na temeljima Međunarodne elektrotehničke komisije (eng. International

Electrotechnical Commission, IEC), osnovane 1906 g., i Međunarodne federacije

nacionalnih udruženja za standardizaciju (eng. International Federation of the

National Standardizing Associations, ISA),osnovane 1926 g., nakon drugog

svjetskog rata 1946 g., u Londonu predstavnici 25 zemalja stvaraju novu

organizaciju ISO koja započinje s radom 23. veljače 1947.

U povijesti ljudskog razvoja uvijek postoje prijelomne godine. Tako je 1987. bila

prijelomna u ISO organizaciji.

Tehnički komitet ISO 176 kroz višegodišnji rad predstavio je i realizirao sustav

normi pod nazivom ISO 9000ff. Osnova tog sustava bila je zaštita kupca i

korisnika kroz propisan, implementiran, dokumentiran i redovito analiziran sustav

za upravljanje kvalitetom u kojem je bila integrirana i klasična služba kontrole

kvalitete proizvoda i usluge bilo koje i bilo kakve organizacije. Kupac i kvalitetan

proizvod postaju okosnica daljnjeg razvoja, a ne kao prije količina. Sve je

podređeno što kvalitetnijem proizvodu i zadovoljstvu kupca.

U ostvarivanju te ideje bilo je potrebno i ostvariti još neke ciljeve koje je ISO TC

176 na kraju implementirao u standard ISO 9000ff :

Uspostava takvog sustava upravljanja kvalitetom koji će biti unificiran, strogo

dokumentiran i jednako primjenljiv za materijalnu i nematerijalnu proizvodnju

Postizanje istih početnih uvjeta za sve zainteresirane i maksimalno smanjiti

protekcionizam

Izjednačavanje tretmana proizvoda i usluga

Općenito o ISMS-u

3

Osiguranje jedinstveno sustava nadzora, ocjena i procjena sustava kvalitete

kroz strogo propisani oblik analize.

Nakon prvih problema i „dječjih bolesti“ napravljena je i prva revizija ISO

standarda (1994 g.) danas opće poznata ISO 9001 norma.

Pri izradi te norme željeli su se postići sljedeći ciljevi:

Kompletirati seriju normi (rezultiralo pojavom tzv. križa normi, vidi sliku 1)

Izraditi dodatne norme, upute i smjernice

Izbjegavati nedorečenosti i poboljšati nejasna mjesta

Proširivati područja specijalističkim uputama za druge norme

Unificirati nazivlja i definicije

Slika 1 Križ normi

Općenito o ISMS-u

4

2.2. ISO/IEC 27001:2005 Sustav upravljanjainformatičkom sigurnošću (eng. Information SecurityMenagment System – ISMS )

2.2.1. Povijest ISO 27001:2005

U zadnjih desetak godina, kada u svijetu doživljavamo veliku ekspanziju

Interneta i primjenu istog na većinu poslovnih procesa, nužno je razmišljati i o

sigurnosnim aspektima informatičkog sustava.

Velike i nagle promjene na tržištu kapitala zahtijevaju vrlo fleksibilne sustave.

Kako to obično biva neke nacionalne organizacije za standardizaciju znaju izaći sa

svojim prijedlozima. Konkretno, Velika Britanija je zbog svojih potreba već 1995.

donijela prvu verziju standarda BS 7799, koji se mijenjao 1999./2000., 2002. i

2005. ISO kao krovna organizacija većinu standarda preuzela je iz britanskog

modela. Danas se još uvijek, unatoč postojanju ISO standarda, u razgovorima

može čuti o BS 7799 kao začetku sigurnosnih pravila i procedura. (vidi sliku 2)

ISO 27001:2005 usvojen je kao međunarodna norma 15.10.2005.

Slika 2. Povijest ISO 27001 i ISO 27002 standarda

Općenito o ISMS-u

5

ISO/IEC 27001:2005 pripremila je zajednička komisija Joint Technical

Committee ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT

Security tehniques.

Uz ISO 27001 standard spominje se i ISO 27002:2007 (prijašnji naziv ISO

17799:2005) kao skup preporuka i smjernica izrađen prema najboljoj praksi. ISO

27001 kao krovni dokument sadrži popis zahtjeva obaveznih za certifikaciju i

direktno se referencira na ISO 27002 kao skup smjernica i kontrola za realizaciju

sigurnosti.

ISO 27001 pripremljen je na način da se odlično integrira sa poslovnim

procesima organizacije i već postojećim standardima ISO 9001 i ISO 14001 te

kroz prizmu poslovne opravdanosti upravlja procesima informacijske sigurnosti u

organizaciji. Ovaj standard je vrlo dobro prihvaćen jer osigurava fleksibilnost,

definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što ga

čini primjenjivim u različitim organizacijama.

ISO 27001 standard je prvi u porodici ISO 27000.

Popis standarda vezanih uz problematiku zaštite i sigurnosti informacijskog

sustava koji su već doneseni ili su planirani u narednom razdoblju jesu:

ISO 27000 – Rječnik termina koji se koriste unutar ISO 27000 serijestandarda

ISO 27001:2005 – Sustav upravljanja informatičkom sigurnošću (ISMS)

ISO 27002:2007– Kodeks postupaka za upravljanje informacijskomsigurnošću

ISO 27003 – Vodič za implementaciju ISMS-a

ISO 27004 – Mjerenje i metrika efikasnosti sustava informacijske sigurnosti

ISO 27005 – Upravljanje rizicima informacijske sigurnosti(baziran na BS 7799-3)

ISO 27006:2007 – Zahtjevi za postupkom analize i certificiranja standarda

ISO 27007 – Upute za analizu ISMS-a

ISO 27011 – Upute za uspostavu ISMS u telekomunikacijskom sektoru

ISO 27031 – Specifikacije za ICT odjel pripremljenosti poslovneneprekinutosti rada

ISO 27032 – Upute za cyber- sigurnost

Općenito o ISMS-u

6

ISO 27033 – Upute za mrežnu sigurnost

ISO 27034 – Upute za sigurnost aplikacija

ISO 27799 – Sigurnosni sustav u zdravstvu

2.2.2. ISMS

Norma ISO/IEC 27001:2005 opisuje proces uvođenja sustava upravljanja

sigurnošću informacija (engl. Information Security Management System (ISMS)).

Takav proces pruža sistematski pristup upravljanju osjetljivim informacijama s

ciljem očuvanja njihove sigurnosti.

Informacijska sigurnost je zaštita bilo kakvih informacija u svrhu očuvanja:

povjerljivosti (eng. Confidentiality) – osiguranje da je informacija dostupnasamo onima koji imaju ovlašteni pristup istoj,

integriteta (eng. Integrity) – zaštita postojanja, točnosti i kompletnostiinformacije kao i procesnih metoda,

raspoloživosti (eng. Availability) – osiguranje da autorizirani korisnici imajumogućnost pristupa informaciji i pripadajućim sredstvima kada se uslugazahtijeva.

Radi što lakše zaštite informacije, evidentiranja ranjivosti, gore navedenih

svojstava, u organizacijama se pristupa stvaranju sustava kojim bi se moglo na što

jednostavniji način rješavati sigurnosni problemi. Takav sustav bi sadržavao

uravnoteženi skup sigurnosnih mjera: sigurnosnih provjera osoblja, fizičke

sigurnosti, sigurnosti podataka, sigurnosti informacijskih sustava te koordiniranog

uvođenja formalnih procedura poput procjene rizika, certifikacije osoblja i uređaja,

kao i akreditacije tehničkih sustava za primjenu u određenom segmentu poslovnog

i svakog drugog procesa. Uravnoteženost i koordinacija takvih bitnih mjera i

postupaka postižu se organizacijom i upravljanjem informacijskom sigurnošću.

ISO 27001 jest takav standard koji sadrži strukturirani set smjernica i

specifikacija za pomoć organizacijama u razvoju sustava upravljanja

informacijskom sigurnošću.

Implementacijom ISO 27001 standarda organizacija osigurava zaštitu svojih

informacija korištenjem kontrola koje su prihvaćene u najvećim i najuspješnijim

poslovnim sustavima.

Općenito o ISMS-u

7

ISO 27001 standard uključuje zahtjev za identificiranje postojećih i budućih

zakona i propisa koji direktno utječu na posao koji obavljamo i na način na koji ga

obavljamo. Time se osigurava usklađenost operacija unutar organizacije s

važećom regulativom i kontinuirani rad na sigurnosti.

Sam standard tu kontinuiranost prikazuje preko PDCA modela (eng. Plan-Do-

Check-Act). Ovaj model ističe važnost pažljivog planiranja programa uspostave

sustava, što rezultira efikasnim mjerama za njegovo trajno poboljšanje i pravilnu

uporabu. PDCA model je prikazan na slici 3 i 4.

Slika 3. Procesni pristup PDCA modela

Uspostavljanje ISMS-a (eng. Plan)Uspostavljanje ISMS politike, ciljeva, procesa i procedura važnih za upravljanje

rizikom i povećanje informacijske sigurnosti kako bi dali rezultate u skladu s

ukupnom politikom i ciljevima organizacije

Implementacija i pokretanje ISMS-a (eng. Do)Implementiranje i pokretanje ISMS politike, kontrola i procedura

Nadgledanje i kontrola ISMS-a (eng. Check)Procjena i gdje je primjenjivo, mjerenje performansi procesa u odnosu na ISMS

politiku, ciljeve i praktično iskustvo te izvještavanje uprave o rezultatima.

Održavanje i unapređivanje ISMS-a (Act , Improve)Izvođenje korektivnih i preventivnih akcija zasnivanih na rezultatima ISMS-a

procjene, analize (eng. audit), procjeni uprave i ostalim bitnim informacijama, kako

bi se ISMS kontinuirano usavršavao.

Općenito o ISMS-u

8

Slika 4 - PDCA model

Standard ne podrazumijeva implementirane ostale standarde iz ISO porodice,

ali u svakom slučaju pojednostavnjuje i ubrzava uspostavu ako neka

implementacija već postoji. To se posebno odnosi na sustav upravljanja

dokumentima koji je sastavni dio svih ISO standarda. Početak implementacije

podrazumijeva odluku tijela uprave organizacije o samom početku implementacije

takvog sustava. Daljnja procedura je dana na slici 5 koja prikazuje ISMS opseg

(eng. Framework ISMS-a) implementacije. Sigurnosni opseg, može pokriti bilo

pojedine odjele organizacije, bilo cjelokupnu organizaciju.

Slika 5. - ISMS opseg implementacije

Općenito o ISMS-u

9

Kako se standardi ISO 27001 i ISO 27002 međusobno nadopunjuju, tako je za

određivanje propusta i ugroza najbolje koristiti sadržajne cjeline ISO standarda

27002 međutim naravno dozvoljene su ostale metode.

Standard ISO 27002 se sastoji od 11 područja, 39 kontrolnih ciljeva i ukupno133 kontrola tj. mjera zaštite koje pomažu u identifikaciji, upravljanju i smanjenjucijelog niza prijetnji kojima su informacije svakodnevno izložene.

Popis područja koja su obuhvaćena standardom ISO 27002:

Sigurnosna politika

Organizacija informacijske sigurnosti

Upravljanje imovinom

Sigurnost ljudskog potencijala

Fizička zaštita i sigurnost okruženja

Upravljanje komunikacijama i operacijama

Kontrola pristupa

Nabava, razvoj i održavanje informacijskog sustava

Upravljanje sigurnosnim incidentom

Upravljanje kontinuitetom poslovanja

Sukladnost

Provjera usklađenosti nekog sustava je dana na kraju standarda ISO 27001 u

obliku kontrolnih ciljeva i postavljenih zadataka provjere (poglavlje Annex A).

Dodatak je tablica s cjelina iz ISO 27002 standarda i u kratkim crtama je opisano

koji su to potrebne akcije nužne za provedbu samog certificiranja dotičnog

standarda, a time i sukladnosti istog. Detaljnija objašnjenja i sam postupak

certificiranja su određeni standardom ISO 27006:2007.

Primjer uspostave ISMS-a

10

3. Primjer uspostave ISMS-a

3.1. UvodNa konkretnom primjeru srednje škole, objasnit će se sama implementacija i rad

informacijskog sigurnosnog sustava. Riječ je o Nadbiskupskoj klasičnoj gimnaziji

(kraće NKG). Škola je jedinstvena u Republici Hrvatskoj jer jedina ima astronomski

laboratorij ili kupolu s teleskopom. Dugo vremena škola je informatički bila van

svih tokova, ali upravo školske godine 2002./2003. dobivanjem sredstava za

obnovu (donacija katoličke udruge iz inozemstva), dobivanje statusa pridružene

članice CARNet-a, započela je razdoblje informatičkog prosvjetljenja. Obnovom

kupole, modernizacijom teleskopa, započinje informatička era te škole.

Uspostavljena je računalna infrastruktura koje bi se mogle postidjeti i manje tvrtke.

Cilj ovog diplomskog rada je uspostaviti ISMS u NKG-u. Dogovorena je podrška i

suradnja škole. Školi nije bio cilj certificiran sustav, koliko zaštita podataka,

dokumentiranost sustava i uspostavljen nadzor računalne mreže. Rješenje

školskih interesa je pronađeno u uspostavi ISMS-a.

3.1.1.NKG – Nadbiskupska klasična gimnazija

Nadbiskupska klasična gimnazija započela je svoje djelovanje 1920. s adresom

na Kaptolu br. 29. Kad je dobrotom i marom nadbiskupa Bauera i biskupa

Akšamovića dovršena gradnja impozantnog kompleksa na Šalati, gimnazija je

promijenila adresu i od te davne 1928. do danas, nalazi se u Voćarskoj cesti br.

106.

U početku, jer je tako i zamišljena, ova je gimnazija odgajala i obrazovala

buduće svećenike. Ustrajala je i održala se u teškim danima rata i poraća. U

komunizmu je, makar bez prava javnosti, čuvala i prenosila poruku ljubavi i znanja.

S hrvatskom samostalnošću vraća joj se pravo javnosti, a ona zauzvrat otvara

vrata svim mladićima, kasnije i djevojkama, znanju,antičkom i kršćanskom duhu.

Ove su tri vrijednosti temelj europske kulture i po njima je Nadbiskupska

klasična gimnazija škola za novo doba. Danas škola broji četiristotinjak učenika i


11

učenica te pedesetak profesora i profesorica. Školska je baština bogata: od

osnivača naslijeđen je duh vjere, ufanja i ljubavi; od prethodnika upornost, mudrost

i znanje.

Raskošan prostor u zelenilu pod zvjezdarnicom, a nadomak centru grada

Zagreba uči mnoge gimnazijalce skladu prirode i čovjeka.

Nadbiskupska gimnazija ima klasični obrazovni program. To znači da su kroz

sve četiri godine obavezni predmeti latinski i grčki jezik s književnošću. Osim

učenika početnika, onih koji se nikad nisu susreli s tim jezicima, primaju se i

učenici nastavljači koji su u osnovnoj školi već učili klasične jezike.

Škola daje širok uvid u početak i razvoj ljudskih misli, temelje mnogih prirodnih i

društvenih znanosti. Time klasična naobrazba osigurava i upis na mnoge fakultete.

Neke važne godine u povijesti NKG-a:

1920. osnivanje NKG

1928. preseljenje na Šalatu, Voćarska cesta , uspostava Zvjezdarnice

1991. godine postaje škola s pravom javnosti

2002. godine postaje pridružena članica CARNet-a.

2003. godine obnavlja se Zvjezdarnica, Informatička učionica

- početak e-revolucije u školi.

2004. godine dozvoljen upis djevojka u školu.

2004. godine postaje punopravna članica CARNet-a.


12

3.2. Uspostava ISMS-a(PDCA model – PLAN)

3.2.1.Uvodno o uspostavi ISMS-a

PDCA model podrazumijeva sljedeće korake unutar ove faze:

1. Podrška uprave

Implementacija bilo kojeg efikasnog sustava upravljanja zahtjeva činjenicu da

uprava u potpunosti razumije korisnost uvođenja sustava, da podrži njegovo

uvođenje, da je svjesna mogućih problema i prepreka koje se mogu pojaviti.

U svrhu uspješno ispunjenih ciljeva i zahtjeva informacijske sigurnosti, važno je

da izvršno tijelo organizacije preuzme inicijativu u promicanju informacijske

sigurnosti.

2. Definiranje opsega sustava upravljanja sigurnošću informacija

Drugi korak je definiranje područja koje će pokrivati implementirani sustav

upravljanja sigurnošću informacija. Područje opsega sustava upravljanja

sigurnošću informacija pokriva sve one domene za koje organizacija smatra da

trebaju adekvatnu informacijsku zaštitu.

3. Kreiranje dokumenta sigurnosne politike

Dokument sigurnosne politike je potpisan od strane uprave organizacije, te

prezentiran svim zaposlenicima. Namjena dokumenta je iskazivanje potpune

potpore poslovodstva uvođenju sustava upravljanja sigurnošću informacija.

Dokumentom se nedvojbeno izražava politika organizacije da ce osigurati

tajnost informacija, štititi njihov integritet, te osigurat njegova dostupnost samo

autoriziranim korisnicima. Svi drugi relevantni dokumenti, pravne i zakonske

odredbe od specifične važnosti za organizaciju, kao i ostali dokumenti

sigurnosne politike namijenjene određenim aspektima informacijskog sustava,

trebaju biti navedeni u krovnom dokumentu sigurnosne politike.

4. Kreiranje strukture sigurnosne organizacije

Organizacija mora uspostaviti upravljačku strukturu za provedbu mjera i

strategija sustava upravljanja sigurnošću informacija. Struktura se brine za


13

provedbu, kreiranje i održavanje ažurnosti sigurnosnih politika, kao i

relevantnih standarda, procedura i planova. Sastoji se od različitih tijela i

timova zaduženih za specifične sigurnosne aspekte.

5. Izvođenje procjene rizika

U odluci o tome koje je informacijske resurse potrebno zaštititi, nužno je

provesti detaljnu analizu organizacije u cilju utvrđivanja lokacije, načina

postupanja i odgovornosti za pojedine informacijske resurse. Informacijski

resursi svakog dijela organizacije trebaju se klasificirati unutar aspekata

tajnosti, integriteta i dostupnosti.

6. Odabir sigurnosnih kontrola

Preporučuje se upotreba samo onih kontrola koje su u procesu analize rizika

identificirane kao nužne za primjenu. Nakon odabira sigurnosnih kontrola,

specifične sigurnosne politike definiraju se za svaku pojedinu kontrolu, kako bi

se osigurala željena razina sigurnosti. Preporuke i procedure za

implementaciju sigurnosnih politika specificiraju se u posebnoj dokumentaciji o

implementaciji sigurnosne politike, te se sama implementacija mjera definiranih

politikama provodi u fazi održavanja i nadgledanja PDCA ciklusa (eng. Act).

7. Kreiranje Izjave o primjenjivosti

Standard ISO/IEC 27001 zahtijeva postojanje dokumenta zvanog Izjava o

primjenjivosti (engl. Statement Of Applicability, SoA), koji sadrži popis

sigurnosnih kontrola s objašnjenjima zašto su pojedine kontrole uključene

odnosno isključene iz sustava. Norma podrazumijeva da je opseg sustava

upravljanja sigurnošću informacija specifičan za svaku pojedinu organizaciju i

samim tim je opravdano isključivanje pojedinih kontrola iz sustava.

3.3. Analiza informacijskog sustava NKG-aAnaliza informacijskog sustava se vrši po poglavljima iz ISO 27002 standarda.

Na početku svakog poglavlja dane su opće informacije o samom poglavlju radi

lakšeg praćenja analize. Sama analiza je potrebna radi lakšeg detektiranja

propusta i ranjivosti sustava, tj. određivanja rizika. Određene pretpostavke, tj.

dokumenti koji se podrazumijevaju, a dio su plana uspostave ISMS-a nisu


14

ispunjeni. Ovdje se prvenstveno misli na pisani trag podrške uprave i kreiranja

sigurnosne strukture organizacije.

U jednoj ustanovi kao što je škola teško je definirati i kreirati sigurnosnu

strukturu kada je broj ljudi uključenih u sigurnosni proces vrlo mali (1-2 osobe).

Dokument o podršci uspostave sigurnosnog sustava nije napravljen iako je

usmeno podrška istaknuta.

3.3.1.Sigurnosna politika

Općenito

U ovo područje spadaju svi relevantni dokumenti iz područja upravljanja

informatičkog sustava. Naglasak je prvenstveno na sigurnosnim procedurama i

radnim akcijama te njihovoj dokumentiranosti, pristupu istima, pohrani.

Opažanja

Nadbiskupska klasična gimnazija je članica CARNet-a i kao takva podliježe

određenim preporukama sigurnosne politike te ih je dužna i provoditi unutar

ustanove. Sama provedba je u ovoj ustanovi malo zakazala. Sigurnosna politika i

dokumenti su preuzeti od strane CARNet-a.

Dokumenti koje je CARNet proslijedio svim svojim članicama služili su samo

kao osnova da svaka članica tj. ustanova prilagodi svojim potrebama.

NKG je veći dio dokumenata prilagodio i pridržavao se istih, međutim određene

dokumenti vezani uz sigurnost i opću organiziranost ustanove nedostaju. Ovdje se

prvenstveno misli na korištenje usluga treće strane, samog pristupa i nadzora

dokumenata, njihovo skladištenje.

U praksi se nedostatka takvih procedura i dokumenata reflektiralo u

neuskladištenju dokumenata, nenadziranju pristupa istima itd.

Ukratko dokumentima koji i postoje ne pridaje se neka važnost. Neki od tih

dokumenata su bili u primjeni, a neki samo djelomično (Pravilnik o rješavanju

sigurnosnih incidenata i Pravilnik o upravljanju povjerljivim informacijama).

Suradnja CARNet-a i NKG je vrlo dobra. Upozorenja o sigurnosnim propustima

su promptno primjenjivana.


15

Problemi sustava su:

Nedostatak osnovnih parametara za postizanje sukladnosti s ISO

standardom (izrada, revizije, skladištenje, pristup dokumentima)

Za „treće osobe“ nema odgovarajućih smjernica kao ni pokazatelja

vrednovanja u izvršavanju svojih usluga.

Nedostatak pravilnika o ponašanju korisnika (profesora, učenika, drugog

osoblja) kao i njegovo usklađivanje s statutom škole. Naravno u nedostatku

takvog pravilnika koristi se odredbe statuta škole o ponašanju učenika i

profesora koje u današnje vrijeme nisu dovoljne.

Nedostatak pravilnika o klasifikaciji informacija i dokumenata vezanih uz

školu. Na načelnoj razini ovaj dio je preuzet u sklopu CARNet-ovih

dokumenata, međutim nedostaju smjernice same škole o informacijama.

Preporuke

Izrada i promjena nedostajuće dokumentacije. Izrada sustava dokumentiranosti

radi lakšeg praćenja, arhiviranja i izrade dokumenta.

3.3.2.Organizacija sigurnost

Općenito

U ovom području potrebno je imati dokumentaciju vezanu uz samu

organizacijsku strukturu ustanove, tj. potrebno je imati upravljačku strukturu za

pokretanje i kontrolu primjene informacijske sigurnosti, imati jasne upute o

imenovanjima obvezama i odgovornosti pojedinih djelatnika u sigurnosnom lancu

odlučivanja.

Opažanja

U NKG sama struktura organizacije je definirana u sklopu statuta škole (vidi

sliku 6).


16

Slika 6 Organizacijska struktura NKG-a

Također u sklopu samog dokumenta sigurnosne politike definirani su odnosi

između razina odlučivanja i donošenja pojedinih sigurnosnih odluka. Najveći

problem u cijelom lancu je needuciranost ravnatelja o sigurnosnim problemima

informacijskog sustava. Očit je izostanak dokumenata iz ovog područja.

Dokumenti vezani uz vanjske suradnike i „treće osobe“ trenutno ne predstavljaju

problem međutim ovo područje može biti problematično u budućnosti, zbog sve

većeg obima korištenja teleskopa u edukacijske svrhe, velike fluktuacije ljudi,

daljnje obnove školskog prostora.

IT odjel koji je zadužen za sigurnost trenutno se sastoji samo od IT

administratora. U raznim incidentnim situacijama administratoru pomažu kolege

profesori nastave informatike i astronomije.

Preporuke

Sadašnje stanje trebalo bi doraditi u obliku jasnije i eksplicitnijeg određivanja

nadležnosti u sustavu odlučivanja. Potrebno je izraditi sporazume o povjerljivosti s

djelatnicima koji su zaduženi u provedbi informacijske sigurnosti.

Jasnije odrediti granice i prava pristupa informacijama vanjskim suradnicima i

„trećim osobama“. Izraditi dokumente vezane uz vanjske suradnike i „treće osobe“,

npr. Izjava o čuvanju povjerljivih informacija, Ugovora o načinu rada vanjskih

suradnika i „ trećih osoba“ unutar ustanove. Vrednovanje izvršenih usluga vanjskih


17

suradnika ili „trećih osoba“ prepušta se da potankom objašnjenju unutar ugovora ili

nekog drugog oblika dokumenata, bilo pravilnika, procedure ili radne akcije vezane

uz pojedini projekt.

Potrebna je izrada dokumenata vezanih uz nezavisnu provjeru informacijske

sigurnosti.

3.3.3.Upravljanje imovinom

Općenito

Imovina ili resurs je sve što ima bilo kakvu vrijednost za organizaciju, poslovneoperacije ili njihov kontinuitet.

Cilj je postizanje i održavanje zaštite imovine ustanove. Potanko odrediti svu

imovinu i imenovati vlasnike i korisnike. Izrađuje se inventar imovine unutar

opsega ISMS-a, kao i procjena vrijednosti iste. Određuje se odgovornost za

održavanje imovine preko predviđenih kontrola. Potanko se određuje sigurnosna

klasifikacija imovine (vidi tablicu 1) i dodjeljuju pristupna prava istima.

Kategorija Opis

Informacija

Informacije predstavljaju najvažniji tip resursa koji je potrebno zaštitit i bez

obzira u kojem se obliku nalazi, npr. baze podataka, podatkovne datoteke,

dokumentacija o sustavu , ugovori, priručnici, smjernice, planovi kontinuiteta,

obrazovni materijali i sl.

Procesi i uslugeProcesi i usluge uključuju poslovne procese, aplikacijske aktivnosti,

operativne usluge, komunikacijske usluge i ostale usluge koje omogućuju

procesiranje informacija, npr. grijanje, rasvjeta, struja i sl.

Programska

podrška

Programska oprema uključuje aplikacijske programe, sustavske programe,

razvojne alate,pomoćne aplikacije i sl.

SklopovljeUključuje računala, komunikacijsku opremu, medije (papire, CD-ove,

diskove), tehničku opremu (izvore napona, klimatizaciju) i sl.

LjudiU ovu kategoriju spada osoblje, klijenti, korisnici usluga i svi ostali koji imaju

bilo kakvu ulogu u pohrani i procesiranju informacija.

LokacijaOva kategorija podrazumijeva sam smještaj svih gore navedenih kategorija,

pogotovo ako se ustanova sastoji od više zgrada na različitim lokacijama

Tablica 1 - Kategorizacija imovine


18

Opažanja

Jedan od važnijih zadataka uspostave ISMS-a je inventura imovine. NKG do

sada nije imao napravljenu inventuru. Kako je ovo nužan preduvjet bilo kakvog

razgovora o sigurnosti, sukladno tome je utrošeno i najviše vremena na ovaj

posao. Naime o kvalitetnoj klasifikaciji imovine kao i određivanju veza među

pojedinih resursa ovisi određivanje rizika informacijskog sustava kao centralnog

dijela sustava.

Preporuke

Primjer dokumenta o inventuri NKG-a, kao i klasifikacija te imovine nalazi se u

prilogu, Dodatak B. U dokumentu se nisu posebno isticale tehničke karakteristike

imovine. Taj dio je napravljen automatski u sklopu procesa automatskog

prepoznavanja računala i popunjavanja GLPI baze podataka Potrebno je također

definirati održavanje popisa imovine (resursa), tj. vremenski odrediti provjeru.

U sklopu inventure potrebno je odrediti vlasništvo imovine. Kako se ovdje radi o

školi, vlasnik svih resursa je škola i taj se dio podrazumijeva, međutim pod ovim

terminom će se kasnije u tekstu upotrebljavati naziv onog korisnika koji

neposredno radi s imovinom i kojemu se indirektno ili direktno nameće briga o toj

imovini. U sklopu inventure određuje se i klasifikacija informacija. Ovo područje je

određeno u sklopu preuzete CARNet-ove politike, međutim nedostaje primjena te

klasifikacije na školske informacije. Na žalost, u ovom dijelu je vrlo teško bilo

odrediti i klasificirati školske informacije, jer su sve informacije bile klasificirane po

principu Važno / Nevažno. Daljnje ulaženje u samu bit tih informacija bi zahtijevalo

daleko dublji ulazak u školsku problematiku, što trenutno nema smisla. Zbog toga

se, u kasnijem poglavlju kod određivanja rizika, može uočiti neizdvajanje pojedinih

informacija nego se one grupiraju po principu funkcije koju određeni korisnik

izvršava i na temelju ukupne vrijednosti sigurnosnih atributa resursa.


19

3.3.4.Sigurnost ljudskog potencijala

Općenito

Ovo poglavlje služi za definiranje, razumijevanje odgovornosti te provjeru

podobnosti za izvršenje posla i namjena je smanjenju rizika od krađe, prijevare ili

zloupotrebe opreme.

Ukratko ovo poglavlje je orijentirano prema prijetnjama samih korisnika sustava

(eng. insider) odnosno sve većim problemima krađe informacija unutar ustanove

radi ostvarivanja osobne dobiti.

Opažanja

Sigurnosna politika dobivena od strane CARNet-a se djelomično provodi u

praksi. Naime pojedine odrednice o čuvanju informacija o ustanovi nigdje nisu

evidentirane u obliku dokumenta koji su zaposlenici trebali svojim potpisom

prihvatiti. Isto tako ne postoji niti definirane kazne ili sankcije za ne pridržavanje

sigurnosnih načela, osim onih potanko objašnjenih unutar statuta. Naime iako se

većina zaposlenika pridržava sigurnosnih načela, nedostatak pravila se očituje u

radu s učenicima koji vole istraživati granice nedozvoljenog ponašanja.

Odgovornost u ovom području je prvenstveno na ravnatelju, needuciranosti

profesora, a time i učenika.

Sigurnosnih pravila ili provjera u obliku dokumenta, prilikom zaposlenja

profesora u školi nema. Edukacija profesora, učenika i ostalog osoblja vezano uz

sigurnost se ne provodi.

Preporuke

Potrebna je izrada dokumenta koji bi na jedan jednostavniji način potaknuli

profesore , učenike i ostale zaposlenike škole na pridržavanje pravila vezanih uz

sigurnost.

Potrebna je izrada dokumenta sigurnosne provjere vezane uz zapošljavanje

profesora, a pogotovo djelatnika u IT odjelu.

Izrada planova edukacije korisnika sustava. Unutar dokumenta Sigurnosna

politika NKG-a nalazi se klasifikacija korisnika sustava.


20

Poboljšanje dokumenata vezanih uz prestanak ili promjenu zaposlenja

djelatnika iz škole, prvenstveno se ovdje misli o ukidanju prava pristupa.

3.3.5.Fizička sigurnost

Općenito

Sprečavanje neovlaštenog fizičkog pristupa, oštećenja, ometanje prostora i

informacija organizacije. Potrebno je voditi računa o zaštiti od prirodnih prijetnji,

npr. požara, poplave ili potresa.

Oprema bi trebala biti smještena u prostoru zaštićenom od krađe, vandalizma,

prašine, kemijskih efekata, elektromagnetske radijacije i sl. Pomoćna oprema

poput grijanja, ventilacije, klimatizacije, vodovoda i sl. treba odgovarati sustavu za

koji je predviđena. Svi kablovi trebaju biti zaštićeni od oštećenja. Opremu je

potrebno servisirati i održavati u planiranim intervalima kako bi se smanjio rizik od

kvarova.

Pružena zaštita trebala bi biti proporcionalna definiranim rizicima.

Opažanja

Poslužitelji kao centralne jedinice su smještene na 5. katu zgrade škole u

prostoru zvjezdarnice. Većina poslužitelja i komunikacijske opreme smješteno je

unutar računalnog ormara. Dva poslužitelja su izvan ormara i kao takvi

predstavljaju rizik (mogućnost požara, krađe, poplava). Naime iako je prostor na 5.

katu, fizički je krađa teško izvediva ali mogućnost postoji. Video nadzor škole ili

samo ovog prostora ne postoji.

Najveća opasnost dakako najviše prijeti od vatre i poplave. Protupožarni aparat

ne postoji unutar prostorije niti se nalazi u neposrednoj blizini. Poplava prijeti od

pucanja cijevi centralnog grijanja ili od mogućnosti prokišnjavanja iz same

astronomske kupole. Iako je takva mogućnost mala zbog nedavne obnove, ne

smije se zanemariti.

Posebne evidencije oko pristupa tom prostoru nema jer se taj prostor koristi i u

edukacijske svrhe (nastava, tečajevi itd.) i velika je fluktuacija učenika i profesora.


21

Kat ispod nalazi se informatička učionica gdje se nalazi najveći dio ostale

računalne opreme. Toj učionici pristup je ograničen samo za vrijeme nastave i

samo profesori informatike imaju ključeve dotične učionice. Protupožarni aparat

također ne postoji unutar prostorije ili u neposrednoj blizini. Mrežna oprema se

također nalazi unutar računalnog ormara smještenog u samoj učionici.

Ostala oprema je raspoređena po ostalim katovima. Mrežni kablovi se nalaze u

odgovarajućim kanalima.

Škola ima protupožarni certifikat.

U sklopu ovog područja detektiran je nedostatak sljedećih dokumenta:

Dokumenti vezani uz ekološko zbrinjavanje računalnog otpada.

Dokumenti za održavanje opreme

Dokumenti iznošenja i korištenja opreme izvan škole.

Vođenje evidencije pristupa u pojedine prostore, prvenstveno se ovdje misli

na učionice informatike i astronomije.

Preporuke

Potrebno je postaviti protupožarne aparate u školi, a naročito u prostoru

zvjezdarnice i informatike. Zbog starosti centralnog grijanja potrebno je učestalo

provjeravanje cijevi, osim u prostoru zvjezdarnice gdje je nedavno postavljena

nova instalacija.

Potrebna izrada nedostajuću dokumentacije.

3.3.6.Upravljanje komunikacijama i operacijama

Općenito

Slijede dva najkompleksnija područja. Ona zadiru u samu srž ISMS-a. Naime u

sklopu ovog područja osigurava se ispravan i siguran rad opreme za obradu

informacije kao i sam protok informacija i njena zaštita, skladištenje i uništavanje.


22

Ovo područje je po ISO 27002 standardu podijeljeno na 10 potkategorija:

Operativne procedure i odgovornosti

Opisuje se važnost i način dokumentiranja operativnih procedura. Sve

dokumentirane procedure trebaju biti dostupne korisnicima koji ih trebaju.

Sve promjene u informacijskom sustavu trebaju biti identificirane kako bi se

njima moglo sustavno upravljati.

Upravljanje uslugama treće strane

Implementirati i održavati sigurnosne mjere kako bi se osigurala sigurnost

usluga koje pruža „treća osoba“.

Planiranje i prihvaćanje sustava

Minimizirati rizik od pogrešaka u sustavu. Planiranje i pripremanje je

potrebno kako bi se osigurala raspoloživost sustava i zadovoljavanje

odgovarajućih performansi sustava.

Zaštita od malicioznog i mobilnog koda

Mjere opreza su nužne u zaštititi integriteta programske opreme i

informacija. Programska oprema i informacije su osjetljivi na umetanje

zloćudnog koda poput virusa, crvi, trojanskih konja i sl.

Sigurnosne kopije

U zaštititi integriteta i raspoloživosti informacija potrebno je redovito

izrađivati sigurnosne kopije. Potrebno je utemeljiti procedure u kojima ce se

definirati strategija izrade sigurnosnih kopija, frekvencija izrade kopija,

načini testiranja kopija i sl.

Upravljanje mrežnom sigurnošću

Osigurati i zaštiti informacije u mrežama, kao i pripadne mrežne

infrastrukture.

Rukovanje medijima

Kontrola svih vrsta medija i fizička zaštita. Nakon što mediji više nisu

potrebni organizaciji preporuča se njihovo uništenje. Poželjno je utemeljiti

procedure za odlaganje medija. Sva sustavska dokumentacija također treba

biti zaštićena od neovlaštenog pristupa.


23

Razmjena informacija

Omogućiti sigurnu razmjenu informacija i programa unutar organizacije ili s

nekim vanjskim entitetom. Potrebno je utemeljiti formalne procedure

razmjene informacija svim vrstama komunikacijskih kanala.

E-trgovina

Informacije uključene u elektroničku trgovinu koje prolaze javnim mrežama

trebaju biti zaštićene od neovlaštenih aktivnosti, osporavanja ugovora i

neovlaštenog razotkrivanja ili modificiranja.

Nadziranje

Sustave je potrebno nadzirati i bilježiti događaje vezane za sigurnost.

Datoteke sa zapisima o korištenju sustava i greškama sustava se

upotrebljavaju kako bi se identificirali problemi informacijskog sustava.

Nadzor sustava služi za provjeru efikasnosti kontrola i verifikaciju

usklađenosti s modelom sigurnosne politike. Potrebno je voditi dnevnike o

aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl.

Opažanja

Operativne procedure i odgovornosti

Opaža se problem nedokumentiranosti sustava. Ne postoje operativne

procedure tj. radne akcije niti za jedno važnije računalo (poslužitelji), kao ni za

implementirane usluge u sustavu, obradu i rukovanje informacijama, sigurnosnim

kopijama, uputama u slučaju greške sustava, uputama ponovnog pokretanja

sustava, dnevnika sustava i sl.

Upravljanje uslugama treće strane

Problem nedokumentiranosti sustava i ovdje iskače u prvi plan.

CARNet pružatelj usluge Interneta zahtijeva od svojih članica da imenuju

odgovornu osobu koja će ujedno biti i glavna kontakt osoba. Naime bilo kakvi

sigurnosni dopisi i upozorenja dobivena od strane CARNet-a promptno su bila

provedena. Komunikacija vezana uz sam odnos sa CARNet-om je odlična. Manjak

je jedino nedostatak dokumenata o komunikaciji, izvršenju sigurnosnih zahtjeva.

Na godišnjoj razini odgovorna osoba NKG-a izrađuje dokument o radu ustanove,


24

problemima i rješenjima tijekom rada sustava, kao i zadovoljstvo korištenjem

usluge koju CARNet pruža.

NKG za sada nekom trećem ne pruža nikakve usluge, postoje dakako

mogućnosti i indicije oko pružanja astronomskih usluga međutim zbog slabijih

financijskih mogućnosti sve je ostalo samo u fazi razmatranja.

Planiranje i prihvaćanje sustava

Sustav se nije razvijao na temelju plana nego se računalna mreža razvijala po

principu potreba. Takav pristup se primjenjuje i danas, a glavni uzrok tome su

nedostatak sredstava. Naime često se dešava da ravnatelj dozvoljava postavljanje

računala na mjesta gdje ne postoje tehnički preduvjeti. Tada se hitno stvaraju

preduvjeti, najčešće samo mrežna utičnica, ali bilo je primjera da nisu

zadovoljavajuće i električne instalacije. Takav sustav sada je kompleksniji, što se

očituje na izradi potrebne dokumentacije vezane uz održavanje, nadzor, oporavak

od pogreške, nadogradnju i sl. Uslijed neplanske izgradnje računalne mreže

postoji u školi nekoliko mrežnih preklopnika koji bi pravilnim planiranjem bili

nepotrebni, a funkcionalnost sustava bi bila na većoj razini

Zaštita od malicioznog i mobilnog koda

Kao što se može vidjeti iz popisa imovine, škola ima definiranu programsku

podršku u obliku korištenja Symantec Corporate Edition Antivirus v.10. Ta

aplikacija (eng. software) ima jasno podijeljenu podršku na poslužitelja i klijenta. U

sklopu poslužiteljske komponente definiran je i nadzor klijenta. Taj dio zaštite je

vrlo dobro odrađen. Manjak se očituje u nedostatku potrebne dokumentacije.

Zaštita na Linux poslužiteljima je postavljena u obliku besplatnog anti -virus

rješenja Clam, dok je u sklopu e- pošte uključena i anti spam zaštita.

Sigurnosne kopije

Nad informacijama koje su nužne za sustav, izrađivane su sigurnosne kopije.

Izrada je zamišljena da svaki djelatnik vrši svoje arhiviranje, osim knjižničara i

računovodstva koji su dužni po službenoj dužnosti vršiti arhiviranje službenih

informacija na medij disketu. Izrada sigurnosnih kopija poslužitelja postoji, ali

ažuriranost istih je vrlo upitna. Uvidom u arhivu, na nekim poslužiteljima,

sigurnosne kopije sustava nisu rađene i po 6 mjeseci. Arhiviranje e-pošte je

interno dogovoreno da će se vršiti svaki mjesec, međutim prilikom pregleda


25

ustanovljeno je da su kopije stare i više od 3 mjeseca. Takav način izrade

sigurnosnih kopija je neprihvatljiv i nužno ga je potrebno mijenjati. Za sve važnije

informacije postoji dupliciranje podataka. Međutim to dupliciranje je na razini

dinamičke zaštite. Zbog same strukture windows okruženja, svaki korisnik ima tzv.

putujuće postavke (eng. roaming profile). Na taj način se na računalu gdje se

korisnik zadnji put prijavio u sustav čuvaju informacije kao i na poslužitelju.

Dodatne pohrane tih informacija i podataka nema.

Upravljanje mrežnom sigurnošću

Osiguranje računalne mreže je izvedeno na više razina. Internetski pristup

ostvaren je preko bežičnog prijenosa (eng. Wireless access point), kraće AP.- Dva

takva uređaja su u prospojenom režimu rada (eng.bridge mod) između ustanova

Prirodoslovno-matematičkog fakulteta, Matematički odjel i NKG-a. Zaštita tih

uređaja je klasificirana kao visoka i ona se provodi.

Sljedeća razina su poslužitelji koji imaju direktan pristup od strane „vanjske

mreže“, filtrirajući promet prema „unutarnjoj mreži“. Zadnja razina su korisnički

računi na „unutarnjoj mreži“ i pristup ostaloj mrežnoj opremi. Zaštita i postavke

uređaja bežičnog prometa AP su dobro postavljene, nedostaje dokumentacija o

tim postavkama, dok je sam pristup preko internih korisničkih računa slabija strana

zaštite.

Zaštita „unutarnje mreže“ od utjecaja „vanjske mreže“ postavljena je preko dva

poslužitelja, koja su postavljena u usmjereni način (eng. router). Poslužitelji nisu

spojeni u redundantni režim rada, već djeluje zasebno. Ovo rješenje je zamišljeno

da bude redundantno i napravljeno je kao zaštita od ispadanja Interneta, koja se u

prošlosti dešavala zbog problema s starijim tvrdim diskovima. Sama izvedba je

vrlo upitna. Ispadanje jednog od tih računala drugo preuzima promet na sebe, ali

ono ne zadržava i osigurava nastavak sjednica (eng. session).

Na oba računala nalazi se operativni sustav Linux, ili kraće Linux.

Dokumentiranost postavki ne postoji. Treće računalo koje također koristi Linux ima

funkciju poslužitelja baze podataka MySQL i koristi se isključivo u edukativne

svrhe i kao takav nije sigurnosni problem.

Svi Linux poslužitelji su direktno spojeni na „vanjsku mrežu“. Nema DMZ zone i

to stvara problem kod nadzora, nadogradnji OS-a, podešavanja i sl.


26

„Unutarnja mreža“ nema neki poseban nadzor nad korisnicima osim sustava

autorizacije koju vrši Windows poslužitelj i imenički sustav (eng. Active Directory ili

kraće AD) Svi poslužitelji su podvrgnuti tzv. testu probojnosti (eng. penetration

test). Na temelju tog testa će se kasnije i odrediti rizik. Istiće se propust na jednom

preklopniku gdje se može s početnim postavkama (Admin/bez lozinke) ući u

postavke preklopnika i narušiti njegova funkcionalnost.

Cijela računalna mreža izgrađena je na UTP kablovima 5e kategorije. Zbog

problema sa dužinom kabla i količinom koja se spušta s petog kata zgrade po

cijeloj školi, preporuča se zamjena tih kablova optičkim. Na taj način bi se sigurno

poboljšali sigurnosni uvjeti (smanjenje utjecaja električne instalacije) kao i ostali

elementi mreže (protočnost, dostupnost, brzina).

U sklopu akcije Ministarstva znanosti, obrazovanja i športa „NET u školi“, škola

je dobila i DSL priključak na Internet. Trenutno on nije u funkciji, međutim možda

bi trebalo razmišljati kao o pričuvnoj varijanti veze prema Internetu.

Rukovanje medijima

Mediji koji služe za pohranu i arhiviranje nakon uporabe se ne spremaju na

fizički zaštićena mjesta i u odgovarajućim uvjetima (vlažnost, temperatura, ne

izloženost suncu ili magnetskom polju). Također mediji koji služe za arhiviranje ne

obilježavaju se na adekvatan način. Uklanjanje takvih medija ne vrši se na siguran

i ekološki prihvatljiv način. Kontrola arhiviranih medija se ne izvršava.

Moguće je pokretati s USB promjenljive memorije nepoćudne aplikacije. Nadzor

nad korištenjem USB promjenljivih memorija ne postoji.

Razmjena informacija

Detektiran je nedostatak dokumentacije. Najčešće se razmjena informacija

izvodi preko e-pošte. Ovisno o pojedinom korisniku ti zapisi se čuvaju ili brišu. Do

sada najviše povjerljivih informacija je bilo vezano uz nadogradnju teleskopa.

Unutar projekta HUSOŠ povjerljive informacije škole se prenose u bazu podataka

koja je nadzirana od strane CARNeta. CARNet je preuzeo odgovornost o zaštiti

podataka. Sam prijenos se vrši preko https pristupa web stranicama aplikaciji koja

je napravljena od strane Ministarstvo znanosti, obrazovanja i športa i CARNeta.


27

E-trgovina

Ovo područje je direktno u suprotnosti sa osnovnom djelatnosti škole. U ovom

područja jedino je detektirana primjena on-line transakcija koje računovodstvo

obavlja sa svojom matičnom bankom.

Taj proces bi trebalo dokumentirati jer u njemu nema sigurnosnih propusta, a

sam pristup i autorizacija korisnika (računovođe) se vrši preko token uređaja i

pametnih kartica. O samoj fizičkoj sigurnosti kartica i uređaja zadužen je

računovođa.

Nadziranje

Nadzor se vrši na više mjesta. Za potrebe „unutarnje mreže“ provjera se vrši na

windows poslužitelju preko aplikacije pregleda sustava (eng. Event Viewer).

Provjeravaju se prvenstveno obavijesti iz sigurnosnog područja (eng. Security) ali i

ostale obavijesti vezane uz rad samog poslužitelja. Ta provjera se vrši jednom

dnevnom i to najčešće ujutro.

Nadzor nad Linux poslužiteljima različit je od windows okruženja. Obavijesti se

spremaju u datoteke „logove“. Ti „logovi“ se provjeravaju jednom mjesečno. Svaki

od Linux poslužitelja ima svoj sustav „logova“. Provjera „logova“ je vrlo iscrpljujuća

zbog nedostatka alata za pregled. Često se dešava da pokušaji upada u sistem

ostanu neregistrirani. Detekcija napada za sada je jedino moguća na web

poslužitelju i to preko programske podrške za statistiku stranica. Naime u toj

statistici se očituju upiti prema datotekama koje se nalaze na poslužitelju samo

nisu dio „web strukture“. Zapisi o zastojima, aktivnostima administratora i

operatera nema.

Preporuke

Nužna je izrada potrebne dokumentacije.

Educirati profesore i učenike o sigurnosnim problemima i pridržavanju

postavljenih pravila ponašanja unutar računalne mreže.

Pokušati planirati i projektirati buduće zahvate na sustavu.

Optimizirati informacijski sustav.


28

Pohrana informacija na diskete kao medij je zastario, poželjna je

promjena medija pohrane.

Potrebno je u sklopu procedure o klasifikaciji informacija potanko odrediti

koje će se informacije pohranjivati i na koji način će se vršiti izrada

njihove sigurnosne kopije.

Potrebna izrada DMZ-a (demilitarizirane zone), odrediti način nadzora

računalne mreže i provođenja nadzora.

Ukloniti sigurnosne propuste na poslužiteljima.

Implementirati dodatni windows poslužitelj radi replikacije AD-a.

Bolje implementirati redundantnih postavki na Linux poslužiteljima.

Potrebno obilježavanje medija za pohranu, izrada lista kontrole

arhiviranih medija, određivanje samog smještaja medija (posebni ormari

za čuvanje) i sl.

Nadzor učenika u korištenju USB promjenljivih memorija, pogotovo je

kritično pokretanje neželjenih aplikacija.

Izrada sustava praćenja, analize i automatskog odlučivanja na

poslužiteljima u sklopu nadzora računalne mreže.

Dokumentirati upotrijebljene sigurnosne postavke.

Promjena svih početnih postavki autentifikacije na mrežnim

komponentama sustava.

Izrada i bilježenje aktivnosti administratora, zastoja sustava.

Sinkronizacija satova kod svih odgovarajućih sustava za obradu

informacija unutar ustanove.


29

3.3.7.Kontrola pristupa

Općenito

Ovo područje sadrži 7 potkategorija. Uz prethodno poglavlje čini okosnicu

sigurnosti informacijskog sustava.

Poslovni zahtjevi kontrole pristupa

Kontrola pristupa informacijama u skladu s poslovnim i sigurnosnim

zahtjevima. Pravila kontrole pristupa trebaju uzeti u obzir politike

autorizacije i pružanja informacija. Potrebno je utemeljiti, dokumentirati i,

u određenim vremenskim intervalima, revidirati politiku kontrole pristupa.

Kontrole pristupa su logičke, ali i fizičke, te se zajedno razmatraju.

Upravljanje pristupom korisnika

Omogućavanje autoriziranog pristupa informacijskom sustavu i

sprječavanje neautoriziranog pristupa. Potrebne su formalne procedure

za kontrolu prava pristupa informacijskom sustavu i uslugama.

Procedure trebaju obrađivati cijeli ciklus pristupa korisnika, počevši od

inicijalne registracije novog korisnika do ukidanja prava pristupa.

Posebna pozornost posvećuje se kontroli privilegiranih pristupnih prava

koje korisniku omogućuju promjenu sustavskih kontrola. Dodjeljivanje i

uporaba privilegija treba biti ograničena i kontrolirana. Dodjeljivanje

lozinki treba se kontrolirati kroz formalni proces. Uprava revidira

korisnička prava pristupa u redovitim intervalima.

Obveze korisnika

Korisnici trebaju biti svjesni svojih odgovornosti kako bi se održala

učinkovitost pristupnih kontrola. Potrebno je utemeljiti politiku za čuvanja

informacija na radnom mjestu kako bi se spriječio neautoriziran pristup

informacijama i informacijskim sredstvima. Potrebno je poticati korisnike

da slijede dobru sigurnosnu praksu za odabir i uporabu lozinki)

Kontrola pristupa mreži

Sprječavanje neovlaštenog pristup mrežnim uslugama. Potrebna je

kontrola pristupa, kako unutarnjim, tako i vanjskim mrežnim uslugama.


30

Pristup korisnika mreži i mrežnim uslugama ne smije narušiti sigurnost

mrežnih usluga. Potrebno je formulirati politiku za korištenje mreže i

mrežnih usluga.

Kontrola pristupa operacijskim sustavima

Sigurnosne kontrole trebaju ograničiti pristup neautoriziranim

korisnicima. Te kontrole trebaju imati sljedeće značajke: autentifikacija

korisnika u skladu s politikom kontrole pristupa; snimanje uspješnih i

neuspješnih pokušaja autentifikacije; snimanje uporabe specijalnih

sustavskih privilegija; podizanje alarma u slučaju kršenja sigurnosne

politike; ograničavanje vremena povezivanja korisnika i sl.

Aplikacijska i informacijska kontrola pristupa

Sprječavanje neautoriziranog pristupa informacijama koje se nalaze u

aplikacijskim sustavima. Pristup informacijama i funkcijama aplikacijskih

sustava treba biti ograničen u skladu s politikom kontrole pristupa.

Osjetljivi sustavi trebaju biti smješteni u izoliranom okruženju.

Mobilno računarstvo i udaljeni rad

Pružanje sigurnosti kod uporabe mobilnih naprava i kod rada na daljinu.

Zaštita treba odgovarati rizicima koje ovakav način rada uzrokuje. Kod

uporabe mobilnih naprava potrebno je primijeniti odgovarajuće kontrole

za zaštitu od rizika rada u udaljenom okruženju.

Opažanja

Active Directory je tijekom ove analize postao jedini imenički servis za cijelu

školu. Prije su postojala 3 takva servisa (CARNet AAI, Active Directoy, Mail). Zbog

usklađivanja srednjih škola na razini ministarstva je odlučeno da od početka

školske godine 2007/2008 započne sa radom baza podataka HUSOŠ koja

objedinjuje sve učenike i profesore srednjih i osnovnih škola. CARNetov sustav

AAI će se dalje primjenjivati samo za visoko školstvo. Zbog ove odluke i zbog želje

za jedinstvenim korisničkim računom odlučeno je u školi imati samo jedan

korisnički servis tj. AD ili Active Directory. Naravno, ova odluka je donesena na

razini IT odjela i, na žalost, ne postoji pisani trag odluke. Korisnici mogu također


31

koristiti i CARNetov korisnički račun (HUSOŠ bazu) te na taj način koristiti usluge

CARNeta.

AD je imenički servis u kojem se nalaze podaci o svim korisnicima sustava

(prvenstveno se ovdje misli o korisničkom imenu i lozinki). Politika oko kreiranja

korisničkih imena i lozinki postoji, međutim ne postoji redundancija windows

poslužitelja i replikacija AD-a. Korisnički račun Administrator nema promijenjeno

ime pa time olakšava posao mogućem napadaču sustava.

Korisnici su u AD-u podijeljeni na grupe: profesori, učenici, ostalo osoblje,

administratori. Učenici su podijeljeni u organizacijske jedinice „razrede“ radi lakšeg

praćenja rada korisnika.

U sklopu datotečnog poslužitelja (eng. file server) koji je ujedno i windows

poslužitelj, dozvoljeno je određivanje, na razini grupe korisnika, prava pristupa

pojedinim datotekama i direktorijima.

Pravilnik o rukovanju zaporki postoji i primjenjuju ga svi korisnici osim

administratora koji svoju lozinku ne mijenja u odgovarajućim vremenskim

intervalima. Također administrator dodjeljuje jedinstvenu inicijalnu lozinka svim

korisnicima sustava. Ovaj problem je vrlo veliki sa sigurnosnog gledišta.

Dodatno ga pospješuje činjenica da se takvim korisnicima, najčešće učenicima,

korisnički račun ne obustavlja zbog inaktivnosti.

U informatičkoj učionici prije godinu dana je uspostavljena tzv. e-učionica. Taj

projekt Ministarstva znanosti, obrazovanja i športa nije zaživio kako je bilo

zamišljeno. Zbog tehničko-organizacijskih propusta i grešaka u planiranju projekta,

u radu se očituju anomalije. Naime, zamisao je bila da se tanki klijenti zajedno s

poslužiteljem iskoriste kao sustav koji će biti upravljan, nadograđivan, nadgledan s

jedne lokacije. Upravo zbog te činjenice sam projekt se tijekom implementacije

mijenjao u svojim specifikacijama (promjena OS-a, načina autentifikacije,

korištenje dijeljenih podatkovnih resursa i sl.). Danas je ta učionica kao jedna

nezavisna računalna mreža i njen rad nije uklopljen u samu računalnu

infrastrukturu na optimalan način.

Zbog mogućnosti pokretanja aplikacija za otkrivanje lozinki i korisničkih računa

s USB promjenljive memorije aplikacija postoji mogućnost otkrivanja i zloupotrebe

podataka.


32

Udaljeni rad na Linux računalima je dozvoljen jedino administratoru i to

korištenjem SSH protokola. Ostali korisnici imaju pristup forumu i e-pošti kao

uslugama baziranim preko web sučelja. Administratoru je također dozvoljen i

pristup GLPI bazi podataka preko web sučelja. Autentifikacija korisnika web

usluga vrši se preko prosljeđivanja upita AD-u za potvrdom dotičnog korisnika.

Posebne dokumentacije vezane uz uporabu mobilnih računala nema. U bliskoj

budućnosti to bi mogao biti jedan od glavnih izvora problema računalne sigurnosti.

Preporuke

Nužna je izrada potrebne dokumentacije.

Promjena prakse izdavanja zajedničkih inicijalnih lozinki.

Zaključavanje korisničkih računa zbog inaktivnosti.

Promjena naziva korisničkog imena administrator

Nadgledanje udaljenog pristupa informacijskom sustavu (nadzor,

evidencija, dodjela i uklanjanje prava).

Potanko određivanje pravila uporabe mobilnih računala.

3.3.8.Nabava, razvoj i održavanje informacijskog sustava

Općenito

Analiza i specifikacija sigurnosnih zahtjeva informacijskog sustava

Informacijski sustavi uključuju operacijske sustave, infrastrukture,

poslovne aplikacije, gotove proizvode i usluge i aplikacije razvijene

unutar organizacije. Sigurnosni zahtjevi trebaju biti definirani prije razvoja

i implementacije informacijskog sustava. Poslovni zahtjevi i specifikacija

novog informacijskog sustava ili nadogradnja već postojećeg sustava ,

treba uključivati i sigurnosne kontrole.

Ispravna obrada informacija u aplikacijama

Sprječavanje greške, gubitka ili neovlaštenih modifikacija informacija u

aplikacijama koje se razvijaju ili samo koriste.


33

Kriptografske kontrole

Potrebno je razviti i implementirati kriptografske kontrole za zaštitu

informacija. Upravljanje kriptografskim ključevima osigurava ispravnu

uporabu kriptografskih tehnika.

Sigurnost sustavskih datoteka

Pristup sustavskim datotekama i izvornom tekstu programa treba biti

kontroliran, a IT projekti i vezane aktivnosti trebaju biti izvedeni na

siguran način. Potrebno je ugraditi procedure za kontrolu instalacije

programske opreme i operacijskih sustava. Testne podatke je potrebno

pažljivo birati, zaštititi i kontrolirati.

Sigurnost i razvoj programske opreme

Cilj je održati sigurnost aplikacijskih programa i pripadnih informacija.

Potrebno je kontrolirati razvoj programske opreme kao i pripadno

razvojno okruženje. Implementacija promjena treba biti kontrolirana

upotrebom formalnih procedura za kontrolu promjena.

Upravljanje tehničkom ranjivošću

Potrebno je smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti.

Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i

efikasno. Potrebno je na vrijeme primati informacije o tehničkim

ranjivostima informacijskih sustava, procijeniti izloženost tim ranjivostima,

te poduzeti mjere za smanjenje rizika od tih ranjivosti.

Opažanja

Unutar ustanove koristi se više operacijskih sustava. Nadogradnja sigurnosnih

propusta unutar operacijskih sustava se ne provodi, osim onih za koje CARNet

izda obavijest. Nema popisa dozvoljenih aplikacija. Ne prati se ažuriranje tih

aplikacija. Postoji mogućnost instalacije nepoćudnih aplikacija na računalima

unutar mreže, koristeći zaobilazne putove u obliku dodatnih memorija (USB

promjenljivih memorija). Nadogradnja sistemskih aplikacija pojedine mrežne

opreme (eng. firmware) se ne provodi. Dokumentacija nema. Razvoj aplikacija se

svodi na izradu aplikacija u edukativne svrhe, jednostavne i bezazlene. Nadzora


34

nad sustavskim datotekama osim onih koji su definirane početnim postavkama

nema.

Preporuke

Izrada dokumentacije. Integrirati u sustav mogućnost automatske nadogradnje

operacijskog sustava. Nadgledati korištenje usb promjenljivih memorija. U

proizvoljnim vremenskim intervalima provjeravati i nadograđivati sistemske

aplikacije mrežne opreme, najčešće kvartalno.

3.3.9.Upravljanje sigurnosnim incidentom

Općenito

Ovo područje određuje i regulira izvješćivanje o sigurnosnim problemima i

incidentima vezanih uz informacijski sustav na način koji omogućuje

pravovremeno izvođenje korektivnih mjera.

Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi

korisnici sustava trebaju poznavati procedure za prijavljivanje različitih tipova

incidenata koji mogu imati utjecaja na sigurnost resursa organizacije, kao i prijaviti

sve sigurnosne slabosti koje su zapazili ili samo sumnjaju.

Potrebno je utemeljiti obveze i procedure za rješavanje sigurnosnih incidenata.

Kao rezultat nadzora, evaluacije i upravljanja sigurnosnim incidentima dolazi do

kontinuiranog poboljšavanja informacijskog sustava. U nekim slučajevima je

potrebno imati prikupljene dokaze o incidentu, kako bi se postiglo usklađivanje sa

zakonom. U nekim slučajevima je dokaze o sigurnosnom incidentu potrebno

sakupljati, čuvati i prezentirati kako bi se zadovoljili pravni zahtjevi.

Opažanja

Incidenti su se u prošlosti dešavali. Lista incidenata se nalazi u sklopu

dokumenta o Inventuri NKG-a. Uz listu nisu vezani datumi jer se nisu vodili, a

sjećanje administratora o događajima je nepouzdano.

Kako nema kvalitetnog nadzora nad mrežom, većina sigurnosnih incidenata je

prošla nezamijećeno. Međutim ono što je zabilježeno, a to su najčešće maliciozni

programi (eng. spyware i virusi) su uspješno uklonjeni. Jedan od značajnih


35

incidenata koji se dogodio je bilo učestalo punjenje direktorija temp na računalu s

Linuxom koje je dovelo do zastoja računalu na kojem su bile instalirane usluge

foruma i chata. Naime zbog greške u postavkama sustava, svakim osvježavanjem

usluge chat stvarala su se privremene datoteke koje bi dovele do punjenja tvrdog

diska i time do zastoja računala, tj. operacijskog sustava. Do trenutka promjena

postavki neki od učenika su radi zabave iskoristila tu mogućnost i doveli do zastoja

dotično računalo. Nedostatak dokumentacije prisutan je u ovom području.

Preporuke

Praćenje svih incidenata u pisanom obliku, određivanje i klasifikacija

incidenata. Preko 80% svih incidenata se odnosi na organizacijske

propuste.

Sigurnosni propusti iako ih je malo zahtijevaju daleko veću

dokumentiranost. Zbog toga su izrada dokumentacije, praćenje i nadzor

rada mreže, prikupljanje dokaza u slučaja incidenta glavne odlike ovog

područja.

3.3.10. Upravljanje poslovnim kontinuitetom

Općenito

Ostvarivanje protumjere u slučaju prekida u odvijanju poslovnih aktivnosti,

zaštita ključnih poslovnih procesa od utjecaja velikih zastoja informacijskog

sustava, osiguranje što bezbolnijeg nastavka rada. Odrediti gubitak, štetu

nastankom prekida rada. Potrebno je razviti i implementirati plan poslovnog

kontinuiteta kako bi se osigurao kontinuitet poslovnih operacija. Upravljanje

poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje

rizika, kao dodatak općenitim procesima procjene rizika, te osigurati da su

informacije potrebne za poslovne procese lako dostupne.

Opažanja

Gubitak rada računalne mreže u školi nije toliko sam po sebi problematičan jer

je velika količina dokumenata vezan uz papirnati oblik. Može se reći da i nekoliko

dana neupotrebe mreže neće stvoriti nepremostive probleme i štetu. Problem će

nastati u budućnosti kada se većina poslova prebaci u elektronski oblik.


36

Kao najvažniji moment treba istaknuti nedostatak i neprikladnost postojećih

uređaja neprekinutog napajanja (eng. UPS). U radu su tri takva uređaja slabijeg

kapaciteta i trenutno nezadovoljavaju potrebe škole. Nedostatak dokumentacije je

vidljiv i u ovom području.

Preporuke

Nabava 3 uređaja za neprekinuto napajanje većeg kapaciteta, otprilike

svaki od 1500VA do 2500VA snage.

Postojeće uređaje za neprekinuto napajanje potrebno je provjeriti s

obzirom na kapacitet te zamijeniti bateriju ukoliko je potrebno.

Izraditi listu incidenata gubitka električne struje.

Odrediti vrijeme rada poslužitelja i ostalih značajnih uređaja sustava

prilikom nestanka struje i rada sustava na baterijama.

Odrediti način gašenja poslužitelja prilikom nestanka struje.

Izraditi procedure ponovne uspostave sustava nakon dolaska električne

struje ili nekog drugog incidenta

3.3.11. Sukladnost

Općenito

Svi važeći zakonski i ugovorni zahtjevi trebaju biti definirani, dokumentirani i

ažurirani, kao i način na koji organizacija zadovoljava te zahtjeve. Potrebno je

implementirati procedure za usklađivanje sa zakonskim i ugovornim uvjetima

korištenja različitih materijala poštivajući prava intelektualnog vlasništva. Važne

zapise je potrebno čuvati od gubitka, uništenja, krivotvorenja u skladu sa

zakonskim, ugovornim i poslovnim zahtjevima. Zaštita podataka i privatnosti treba

biti osigurana u skladu s relevantnim zakonima, propisima i eventualnim uvjetima

ugovora. Potrebno je osigurati da su sve sigurnosne procedure implementirane

korektno, kako bi se postigla njihova usklađenost sa sigurnosnim politikama i

standardima. Informacijske sustave je potrebno redovito provjeravati kako bi se

utvrdila usklađenost sa sigurnosnim implementacijskim standardima.


37

Opažanja

Kako većina dokumenta koje ovo područje pokriva nije izrađeno, ne može se ni

govoriti o potrebama za usklađivanjem sa zakonskim ili nekim drugim propisima

izdanih od Ministarstva znanosti, obrazovanja i športa ili CARNeta. Oni dokumenti

koji su izrađeni su sukladni trenutno važećim zakonima.

Preporuke

Izrada potrebne dokumentacije ISMS-a i njena provjera sukladnosti sa već

postojećim dokumentima.

3.4. Upravljanje RizikomUpravljanje rizikom je proces kojim se potvrđuje poslovna opravdanost odabira

sigurnosnih rješenja i kontrola koje ce osigurati dovoljnu razinu sigurnosti.

Također, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje

ciljeva u području informacijske sigurnosti. Upravljanje rizikom uključuje tri

procesa:

procjenu rizika,

umanjivanje rizika i

evaluaciju rizika.

Proces upravljanja rizika omogućuje stvaranje ravnoteže između operativnog i

ekonomskog troška zaštitnih mjera te dobiti koja se ostvaruje zaštitom

informacijskih sustava i podataka. Dobro strukturirana metodologija upravljanja

rizikom jedan je od ključnih faktora pri odabiru prikladnih sigurnosnih kontrola koje

osiguravaju kontinuirano odvijanje poslovnih procesa.

3.4.1. Procjena rizika

Procjena rizika je identifikacija i određivanje vrijednosti resursa zasnovanih na

poslovnim potrebama organizacije. Prikladna zaštita nužno zahtjeva procjenu

vrijednost imovine ovisno o njihovoj važnosti za poslovni proces. U razmatranje

treba uzeti u obzir zakonske i poslovne zahtjeve, posljedice (eng. impact), gubitka

povjerljivosti, raspoloživosti i integriteta. (vidi slika 7)


38

Slika 7. Procjena rizika

3.4.2.Metodologija procjene rizika

Metoda matrice predefiniranih vrijednosti je određena kao glavna metoda

procjene rizika u informacijskom sustavu. Varijacija ove metode eksplicitno je

navedena dodatku standarda ISO/IEC 13335-3. Također varijacija ove metode se

koristi i u BS 7799-3:2006.

Ova metoda vrijednost fizičkog resursa procjenjuje u odnosu na trošak zamjene

ili rekonstrukcije resursa (kvantitativna mjera). Taj trošak se zatim konvertira u

kvalitativnu skalu koja se upotrebljava za podatkovne resurse. Vrijednost

programske opreme se procjenjuje isto kao vrijednost fizičkih resursa. Dodatno,

ako neki aplikacijski program ima unutarnje zahtjeve povjerljivosti, integriteta ili

raspoloživosti, njegova vrijednost se procjenjuje kao i vrijednost podatkovnih

resursa. Vrijednost podatkovnih resursa se određuje intervjuiranjem vlasnika

podataka koji najbolje poznaju vrijednost i osjetljivost podataka.

Bitne pretpostavke kod određivanja vrijednosti podataka su:

sadrži li podatak osobne informacije,

koje su zakonske i ugovorne obveze vezane za podatak,

koji je ekonomski interes od podatka,

znaci li neraspoloživost podatka prekid neke poslovne aktivnosti,


39

koji je financijski gubitak u slučaju kompromitiranja podatka i sl.

Ova metoda za procjenu rizika koristi tri parametra: vrijednost resursa, prijetnje i

ranjivosti. Svaki od tih parametara promatra se u odnosu na moguće posljedice,

dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Svi parametri se

kvantificiraju proizvoljno. Informacije o vrijednosti imovine određuju vlasnici tih

resursa.

AV – vrijednost resursa, imovine

V – ranjivost

T- prijetnja, ugroza

Za određivanje vrijednosti resursa koristi se numerička vrijednosti u rasponu od

0 (mala) do 4 (vrlo velika), dok se za kvantifikaciju ranjivosti i prijetnji koristi raspon

od 0 (niska razina) do 2 (visoka razina). Razina rizika se određuje sumom

vrijednosti parametara, tj.

R = AV +V +T (1)

Minimalna i maksimalna vrijednost procijenjenog rizika iznose:

RMIN = AVMIN +VMIN +TMIN = 0 (2)

RMAX = AVMAX +VMAX +TMAX = 8 (3)

Određivanje rizika nekog resursa se na kraju određuje tablicom predefiniranih

vrijednosti (vidi tablicu 2)

Vrijednost imovine se određuje u odnosu na sva tri atributa tzv. trojka

(povjerljivost, integritet, dostupnost – PID (eng. CIA)) (vidi tablice 4, 5 i 6)

Rizik se na kraju procesa također klasificira. Naime cilj određivanja rizika je

njegovo smanjivanje, prenošenje na „treću osobu“ ili prihvaćanje.


40

Tablica 2 – Tablica predefiniranih vrijednosti rizika

Svaki rizik koji je visok nužno je smanjiti u što kraćem vremenskom razdoblju.

Za srednji rizik vrijeme reakcije se povećava ali još uvijek je bitno reagirati brzo

ovisno o procjeni imovine. Na kraju za nizak rizik bitno je da se njega ne zanemari

u procesu smanjivanja rizika.

Vrijednost Rizik Vrijeme djelovanja

0 – 2 Nizak < 6 mjeseci

3 – 5 Srednji < 2 mjeseca

6 – 8 Visok < 2 tjedna

Tablica 3 - Tumačenje rizika

Razina prijetnje Niska Srednja Velika

Razina ranjivosti N S V N S V N S V

0 0 1 2 1 2 3 2 3 4

1 1 2 3 2 3 4 3 4 5

2 2 3 4 3 4 5 4 5 6

3 3 4 5 4 5 6 5 6 7

Vrijednostimovine

4 4 5 6 5 6 7 6 7 8


41

3.4.3.Klasifikacija podataka – vlasnički aspekt

a) Povjerljivost

Vrijednost Grupa Opis

0 ili mala (M) Javno Bez ograničenja

1 ili srednja (S) Povjerljivo Svi profesori i zaposleni imaju pravo pristupa uzodobrenje ravnatelja ili „vlasnika“ imovine

2 ili velika (V) Tajno Ograničeni pristup na ravnatelja i tajništvo

Tablica 4 - Određivanje vrijednosti imovine u odnosu na povjerljivost

b) Integritet

Vrijednost Stupanj Opis

2 iliveliki (V) Visok

Strateški podaci ne smiju imati pogrešne vrijednosti, što prijeotkriti i popraviti (Osobni podaci – učenici, profesori,ostali;Podaci o plaćama, Podaci ISMS-a i sl.)

1 ilisrednji (S) Srednji Značajni za poslovni proces ali bez bitnog utjecaja na odluke ili

druge IT sustave, otkriti i popraviti

0 ilimali (M) Nizak

Može se tolerirati pogrešan podatak, bit će popravljeno pribudućoj akciji ili će korisnik sam uvidjeti pogrešku(vlastiti podaci - učenici, profesori, ostali)

Tablica 5 - Određivanje vrijednosti imovine u odnosu na integritet

c) Raspoloživost

Stupanj

Opis Niska0 ili

mala (M)

Srednja1 ili

srednja (S)

Visoka2 ili

velika (V)

Radni dani Pon. – Pet. Pon. – Pet. 7 dana

Vrijeme rada resursa 07:30 – 16:00 07:30 – 16:00 24 sata

Vrijeme zastoja prikvaru 1 dan/tjedan 2 sata/tjedan 12 min/tjedan

Maksimalni zastoj pokvaru 1 tjedan 1 dan 1 sat

Očekivanaraspoloživost 80 % 95 % 99,9 %

Tablica 6 - Određivanje vrijednosti imovine u odnosu na raspoloživost


42

Rezultati analize će se posebno istaknuti u sljedećem poglavlju, gdje će se

eksplicitnije odrediti sve prijetnje, ranjivost i vrijednost promatrane imovine.

Imovina će biti promatrana malo drugačije nego što je naznačena u popisu.

Naime u realnom svijetu operativnih sustava (kraće OS), njihove postavke i

računalo nužno je gledati kao jednu cjelinu, ali u dva slučaja (sklopovski i

aplikativno).

U sklopu rezultata analize rizika nalaze se ranjivosti i prijetnje dobivene testom

probojnosti u sustav.

3.5. Test probojnosti sustava NKG-aProvjera sigurnosti informacijskog sustava ispitivanjem ranjivosti i

penetracijskog testiranja (test probojnosti, eng. penetration) neizostavan je

postupak kojim organizacija identificira prijetnje informacijama i imovini, u svrsi

izračunavanja razine rizika i odabira odgovarajućih zaštitnih mjera.

Testiranje ranjivosti testom probojnosti u NKG-u je izvršeno besplatnim ili

probnim alatima. Test je izvršen udaljenim pristupom, za provjeru Linux

poslužitelja, ali i u prostoru NKG (eng. on-site) za provjeru „unutarnje mreže“.

Alati koji su korišteni u testu:

Nessus Security scanner 3

GFI LANguard Network Security Scanner 8.0

SANS Qualys top 20 scanner

Metasploit 3 i Nmap

ophcrack

Rezultati testiranja sustava su ubačeni u analizu sustava, a konkretne prijetnje

uvrštene postupak određivanja rizika. Izvješća dobivena iz pojedinih aplikacija iz

sigurnosnih razloga neće se nalaziti u prilogu ovog diplomskog rada, ali će se

uključiti u GLPI bazu podataka sustava. Testiranje sustava je također moguće i od

nezavisnog analitičara. CARNet svim svojim članicama omogućava, ukoliko

zatraže, testiranje probojnosti i ranjivosti računalne mreže udaljenim putem. Ovaj

način testiranja će se izvršiti tek kada se implementiraju sigurnosna rješenja

proistekla iz sadašnjeg testiranja


43

3.6. Rezultati Analizea) Popis imovine

Kategorija Naziv resursa Vlasnik C I A Maks.(C,I,A)

Vrijednostresursa Opis

Informacija Financijskipodaci Računovodstvo V V M V 4 Podaci

računovodstva

Informacija Popis knjiga Knjižnica M V S V 2 Popis knjiga u objeknjižnice

Informacija Opći dokumenti Tajništvo M S S V 2

Opći dokumenti uškoli, zapisnici sasjednica, odlukeravnatelja itd.

Informacija Vlastitidokumenti Ravnatelj V V V V 4

Dokumenti naračunaluravnatelja škole

Informacija Podaci oučenicima Pedagog V V S V 4 Osobni podaci

učenika

Informacija E-pošta Korisnik V S S V 4

E-pošta svakogkorisnika škole(profesori, učenici,ostalo osoblješkole)

Informacija

Korisničkepostavke idokumenti(windows profile-a)

Korisnik V V V V 2

Svaki korisnik imasvoj skup datotekaunutar windowsokruženja. Tajskup datoteka jeputujući tj. korisnikmože raditi na bilokojem računaluunutar škole

Informacija GLPI – bazapodataka Administrator V V V V 4

Novo ustrojenabaza podataka oimovini škole

Informacija Glavni vatrozid(eng. firewall) Administrator V V V V 4 Vatrozid

(obavijesti - logovi)

InformacijaDokumentacijaISMS-a(OpenDocMan)

Administrator V V V V 4

Novo ustrojenabaza podataka zadokumentacijuISMS-a

Procesi iusluge

DNS - www.nkg-zagreb.hr Administrator V V V V 4 DNS usluga škole

Procesi iusluge

WEB - www.nkg-zagreb.hr Administrator V V V V 4 Web stranice

škole

www.nkg-

www.nkg-


44

Procesi iusluge

E-pošta(webmail) Administrator V V V V 4 Aplikacija za

pregled e-pošte

Procesi iusluge Forum NKG Administrator M M M M 1

Aplikacija zauslugu forumaškole

Procesi iusluge Active Directory Administrator V V V V 4

Imenički serviswindows platformeza autentifikacijukorisnika

Procesi iusluge DHCP Administrator M M V V 4 DHCP usluga

unutar škole

Procesi iusluge

OCS inventoryNG Administrator S M S S 1

Aplikacija zadetektiranje noveračunalne opremeu školi

Procesi iusluge

Dijeljenjedatoteka (eng.file sharing)

Administrator M V S V 2

Usluga razmjene,pohrane i dijeljenjadatoteka u sklopuwindowsposlužitelja

Programskapodrška

Windows server2003 Administrator M V V V 4 OS koji pokreće 2

poslužitelja

Programskapodrška Linux Debian 4.0 Administrator M V V V 4 OS koji pokreće 3

poslužitelja

Programskapodrška

MS Office 2003+ ostale uredskeaplikacije

Administrator M S M S 2 Skup uredskihaplikacija

Programskapodrška

Windows XPProfessional Administrator M V M V 3

OS koji se nalazina svim uredskimračunalima

Programskapodrška

Windows XPEmbedded

prof.Informatike M S S S 2

OS koji se nalazina svim tankimklijentima

Programskapodrška

Astronomskiprogrami

prof.Astronomije M S S S 2

Skupastronomskihaplikacija(upravljanjeteleskopom,snimanjedigitalnomkamerom)

Programskapodrška MySQL prof.

Informatike M S S S 2Baza podatakakoja služi uedukacijske svrhe

SklopovljeMrežnipreklopnici (eng.switch)

Administrator V V V V 4 Svi preklopnici uračunaloj mreži


45

Sklopovlje Tanki klijenti prof.Informatike M M M M 1

Računala uinformatičkojučionici (projekt E-učionice)

Sklopovlje Poslužitelji Administrator V V V V 4

Računala nakojima se odvijaviše usluga unutarračunalne mreže,pristup imaju samoadministratori

Sklopovlje Stolna računala Administrator S S S S 2Računalo kojesluži za rad bilokojem korisniku

SklopovljeTeleskop +računalo zaupravljanje

prof.Astronomije M S S S 3 Astronomski

instrument

Sklopovlje Wireless AP Administrator V V V V 4

Uređaji bežičnogprijenosapodataka - Internetpromet

Sklopovlje Optički mediji zapohranu, diskete Administrator S V S V 4

Mediji na kojimase u školi vršiariviranje

Sklopovlje DSL modem Administrator M V S V 1Uređaj zauspostavu Internetveze

Sklopovlje UPS Administrator M M V V 1

Neprekidnonapajanje zapotrebeposlužitelja

Ljudi IT Administrator Ravnatelj V V S V 4IT odjel čine(adminsitrator iprof. Informatike)

Ljudi Računovođa Ravnatelj V V S V 3

Osoba kojaizvšavaekonomskeposlove

Ljudi Pedagog Ravnatelj V S S V 3 Osoba koja vodibrigu o učenicima

Ljudi Učenici Ravnatelj M S M S 1 Osobe koje uče islušaju nastavu

Ljudi Profesori Ravnatelj S V S V 2 Osobe koje izvodenastavu

Lokacija Prostorastronomije Administrator M V V V 4 Prostor IT - odjela

+ teleskop

Lokacija Prostorinformatike

prof.Informatike M V S V 3

Informatičkaučionica -izvođenje nastave

Tablica 7 - Popis imovine NKG-a


46

b) Procjena rizika

U postupku procjene rizika pojedine usluge unutar informacijskog sustava

nužno je povezati s dotičnim računalom na kojem se izvode. Na taj način spajaju

se resursi, i dobiva se najbolja spoznaja ranjivosti i prijetnji te imovine. U ovom

informacijskom sustavu bit će grupirani sljedeći resursi koji će se promatrati kao

cjelina:

poslužitelji s OS-om Linux Debian 4.0 (DNS, WEB, Forum, WEB mail

poslužitelj s Windows server 2003 (Active Directory, DHCP, File sharing,

uslugama, interna domena nkg.local)

stolno računalo s Windows XP Professional

E-učionica tj. informatička učionica (Windows XP Embedded + tanki

klijenti + windows poslužitelj)

Ovaj sustav obiluje nedostatkom dokumentacije, zbog tog razloga se neće u

procjeni rizika određivati ova kategorija ranjivosti, osim ako nije nužno za

određenu imovinu navesti tu ranjivost. Jedna od osnovnih ideja ISMS-a je

odrediti koju dokumentaciju sustav treba imati.

Imovina - kategorija Informacija

Imovina Ranjivost ProcjenaRanjivosti Prijetnje Procjena

Prijetnje Rizik

Financijski podaci Arhiviranjepodataka M Gubitak

podataka S 5

Popis knjiga Arhiviranjepodataka M Gubitak

podataka S 3

Opći dokumenti - tajništvo Arhiviranjepodataka M Gubitak

podataka S 3

Vlastiti dokumenti - ravnatelj Arhiviranjepodataka S Gubitak

podataka S 6

Podaci o učenicima – pedagog Arhiviranjepodataka M Gubitak

podataka S 5

E-pošta - svih korisnika Arhiviranjepodataka V Gubitak

podataka S 7

Korisničke postavke i dokumenti– windows profile-a

Arhiviranjepodataka S Gubitak

podataka S 4

GLPI – baza podataka Arhiviranjepodataka M Gubitak

podataka S 5


47

Dokumentacija ISMS-a(OpenDocMan)

Arhiviranjepodataka M Gubitak

podataka S 5

Glavni vatrozid (eng. firewall) Arhiviranjepodataka V

Gubitakpodataka -

dokazaS 7

Tablica 8 - Vrijednost rizika kategorija Informacija

a) Imovina - Programska podrška

Imovina Ranjivost ProcjenaRanjivosti Prijetnje Procjena

Prijetnje Rizik

Nedostatak sigurnosnihnadogradnji V Eksploatacija

poznatih ranjivosti V 8

Nedostatak sigurnosnihnadogradnji V Degradacija usluge V 8

Problemi s korisničkimračunima V Neovlašteni pristup

informacijama V 8

Problemi s korisničkimračunima V Krađa identiteta

učenika V 8

Nedostatakdokumentiranostiradnih postupaka

V Ljudska greška V 8


V Uskraćivanjeusluge V 8

Windowsposlužitelj_1

Arhiviranjepodataka V Gubitak podataka S 7

Nedostatak sigurnosnihnadogradnji V Eksploatacija

poznatih ranjivosti V 8

Nedostatak sigurnosnihnadogradnji V Degradacija usluge V 8

Problemi s korisničkimračunima V Neovlašteni pristup

informacijama V 8







DNS poslužiteljdozvoljava rekurzivneupite

S

DOS (denial ofservice) attacks,DNS cachepoisoning,neautoriziranokorištenje,degradacijaperformansi

S 6Linuxračunalo_1

DNS Cache Snoopingnapad N

Napadač imamogućnostspoznaje zadnjihprepoznatih upita odomenama

N 4


48

Računalo se odazivana ICMP upitvremenske oznake

N

Mogućnostspoznaje točnogvremena naračunalu

N 4

dozvoljeno korištenjeEXPN,VRFY naredbina računalu

N

Nedozvoljenootkrivanjeinformacija na mailposlužitelju

N 4

POP3 poslužitelj možebit ranjiv na remotebuffer overflow napad

V Izvođenjenapadačevog koda N 6






Funkcije za debug suuključene na HTTPposlužitelju

N

Cross-site-scriptingnapadi uslijed čegapostoji mogućnostkompromitiranjakorisničkihakreditacija (kor.ime i lozinka)

S 5

Exim je ranjiv nakorištenje IPv6 adresai SPA authenticationbuffer overflow

V Izvođenjenapadačevog koda V 8

ProFTPD – višestrukaranjivost S Kompromitiranje

računala V 7

Moguće je otkriti LDAPinformacije N

Otkrivanjeinformacije bezprethodnog znanjao LDAP podacima(LdapMiner alat)

V 6

Trojan Backdoor.Kilo(port 15486) N

Trojanac koji koristinajčešće IRCportove zakontaktiranjenapadača

N 4

Crv ADM (port 37) SKompromitiranjeračunala, izvođenjenapadačeva koda.

N 5

POP3 poslužitelj možebit ranjiv na remotebuffer overflow napad V Izvođenje

napadačevog koda N 6


Linuxračunalo_2




49



Računalo ima pokrenutiident ('auth') servis N

Izvođaču dajeinformacije oračunalu

N 4

Određeni broj datotekapoziva funkcijuphpinfo()

N Izvođaču dajeinformacije oračunalu

N4

Dozvoljen je prijenosDNS zona

S Omogućuje senapadaču stvaranjeliste mogućih novihnapada

N

5

DNS poslužiteljdozvoljava rekurzivneupite

S DOS (denial ofservice) attacks,DNS cachepoisoning,neautoriziranokorištenje,degradacijaperformansi

S

6

DNS Cache Snoopingnapad

N Napadač imamogućnostspoznaje zadnjihprepoznatih upita odomenama

N

4

Računalo se odazivana ICMP upitvremenske oznake

N Mogućnostspoznaje točnogvremena naračunalu

N

4

Nedostatak backupposlužitelja

V Ukoliko računaloprestane s radomnastaju problemi saautentifikacijomkorisnika,pristupompodacima i sl.

V

8





Linuxračunalo_3


MS Office2003 + ostaleuredskeaplikacije

Nedostatak sigurnosnihnadogradnji S Eksploatacija

poznatih ranjivosti S 4

Nedostatak sigurnosnihnadogradnji S Eksploatacija

poznatih ranjivosti V 6Windows XPProfessional Izvođenje aplikacija s

prijenosne memorije V Neovlašteni pristupinformacijama V 7

Windows XPEmbedded Autentifikacija korisnika N Neovlašteni pristup

podacima N 2


50

Astronomskiprogrami

Neredovitanadogradnja N

Problemi u raduupravljanjateleskopom

N 2

Autentifikacija korisnika N Neovlašteni pristupinformacijama N 2

MySQLArhiviranjepodataka S Gubitak podataka S 4

Tablica 9 - Vrijednost rizika kategorija Programska podrška

b) Imovina - Sklopovlje

Mrežni preklopnici(eng. switch)

Kvar, neredovitoodržavanje S Degradacija usluge S 6

Mrežni preklopnici(eng. switch)

Autentifikacijakorisnika S Uskraćivanje usluge V 7

Tanki klijenti Kvar, neredovitoodržavanje M Degradacija usluge M 1

Linux poslužitelj_1 Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8



Wireless AP Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8


Kvar, neredovitoodržavanje V Uskraćivanje usluge V 8


Kvar, neredovitoodržavanje S Degradacija usluge S 6

Stolna računala Kvar, neredovitoodržavanje M Degradacija usluge M 2

Teleskop +računalo zaupravljanje

Sinkronizacija izmeđuteleskopa i računala M Nedostupnost

promatranja M 2

Mediji za pohranu -diskete, optički, usbmemorija

Oštećenje medija S Nedostupnostinformacije S 6

Kvar, neredovitoodržavanje S Uskraćivanje usluge M 2

DSL modemAutentifikacijakorisnika S Uskraćivanje usluge M 2

UPS Izdržljivost baterije S Uskraćivanje usluge S 3

Tablica 10 - Vrijednost rizika kategorija sklopovlje


51

c) Imovina – Ostalo (Ljudi, Lokacija)

Nema pisanih

procedura/politika/standarda V Neovlašteneaktivnosti V 8

Nezadovoljstvo na poslu M Otkrivanje povjerljivihinformacija V 8IT Administrator

Neadekvatna definicija

zaposlenja VZloupotrebaorganizacijskihresursa

V 8

MNeprikladna uporabaorganizacijskihresursa

V

Računovođa Needuciranost djelatnika

M Neovlašteneaktivnosti V 5


V 5

M Neovlašteneaktivnosti V 5Pedagog Needuciranost djelatnika

M Otkrivanje povjerljivihinformacija V 5


M Korumpiranostpodataka V 3Učenici Needuciranost djelatnika

M Uskraćivanje usluge V 3


V 4

Profesori Needuciranost djelatnika


prostorAstronomije

Nedostatak protupožarnogaparat S Uskraćivanje usluge V 7

prostorInformatike

Nedostatak protupožarnogaparat S Uskraćivanje usluge V 6

Tablica 11 - Vrijednost rizika kategorija ostalo

3.7. Smanjivanje i evaluacija rizikaIz rezultata procjene rizika, tablice 8, 9, 10, i 11, vidljivo je da su ključni resursi

poslužitelji. Prijetnje su većinom tehničke naravi i to su: nedokumentiranost, sustav

pohrane podataka, sigurnosne nadogradnje i ostali. Međutim kao najveću manu

sustava bih istaknuo nepostojanje DMZ-a. Većina rizika će nestati uspostavom

DMZ-a i nadogradnjama sustava. Rizik koji će ostati će se s vremenom smanjivati,

ali će uvijek biti prisutan. Prvenstveno se misli na ljudski faktor.


52

U smanjivanju tog rizika veliku ulogu će prvenstveno odigrati edukacija

profesora, a kasnije i učenika. Istaknuo bih učenike kao kategoriju korisnika koji će

najčešće iskušavati granice sigurnosti. Kvalitetnim sustavom zapošljavanja

profesora moguće je smanjiti rizik ove grupe korisnika, možda čak i eliminirati.

Dokumentiranost sustava iako izgleda da je veliki problem, u stvarnosti nije tako

strašno. Većina radnji vezanih uz sigurnost je prisutna, ali nije proceduralno

objašnjena. Problem je u izvršenju ostalih radnji koje do sada nisu bile eksplicitno

određene. Radne navike administratora, a može se reći svih ljudi, da ukoliko nešto

nije određeno, najčešće u papirnatoj formi kao ugovor, to se ne izvršava. Upravo

zbog te činjenice nužno je odrediti i narediti izvršavanje takvih radnih akcija.

Upravo zbog toga je nužna podrška uprave, u ovom slučaju ravnatelja škole kao

organa prisile.

Plan zaštitnih mjera je obrađen u narednim poglavljima.


53

3.8. Izjava o primjenjivosti (engl. Statement ofApplicability - SOA)

Dokument o primjeni ISMS-a podrazumijeva:

Kontrolne točke i ciljeve odabrane u izgradnji ISMS-a kao i razlog

odabira

Kontrolne točke i ciljevi koje su već bili implementirani

Izuzeća ili isključenja bilo kojih kontrolnih točki ili ciljeva kao i

opravdanost istih

Dokument Izjave o pripremljenosti je vidljiv iz tablice 12.

Referenca ISO/IEC 27001 kontrola Primijenjeno? Izjava o primjenjivosti – opis kontrole

4.2 Uspostava ISMS-a (PLAN)

4.2.1.a Definirati opseg ISMS-a DA U sklopu dokumenta Inventura određene i

granice i opseg sustava upravljanja

sigurnošću. informacija.4.2.1.b Definirati ISMS politiku DA Dokument preuzet od strane CARNet-a -

Sigurnosna politika NKG-a.

4.2.1.c Određivanje sustavnog

pristupa procjeni rizikaDA Dokument izrađen na temelju ovog diplomskog

rada - Opis pristupa procjenu rizika.

4.2.1.d Identifikacija rizika DA Dokument izrađen na temelju ovog diplomskog

rada - Analiza rizika.

4.2.1.e Analiza i evaluacija rizika DA Analiza i evaluacija je djelomično provedena

4.2.1.f Identificirati i evaluirati opcije

za obradu rizikaDA Opcije za obradu rizika su navedene u

dokumentu Zaštitne mjere ISMS-a.

4.2.1.g Odabrati kontrole i kontrolne

ciljeve za obradu rizikaDA U sklopu dokumenta Zaštitne mjere ISMS-a

nalazi se popis odabranih kontrola.

4.2.1.h Odobrenje ravnatelja za

obradu rizikaDA Ravnatelj je usmeno odobrio plan za obradu

rizika.

4.2.1.i Odobrenje ravnatelja za

implementaciju ISMS-aDA Ravnatelj je usmeno odobrio implementaciju

ISMS-a.

4.2.1.j Pripremiti Izjavu o

primjenjivostiDA Ovaj dokument

A.5 Sigurnosna politika

A.5.1 Informacijska sigurnosna

politika

A.5.1.1 Dokument sigurnosne politike DA Vidjeti dokument - Sigurnosna politika NKG-a.


54

A.5.1.2 Revizija sigurnosne politike DA Sigurnosna politika NKG-a će se ažurirati u

skladu s relevantnim promjenama.

A.6 Organizacija informacijskesigurnosti

A.6.1 Unutarnja organizacija

A.6.1.1Angažiranost uprave na polju

informacijske sigurnostiDA

Ravnatelj će djelovati na području

informacijske sigurnosti. Ravnatelj se na to

obvezao potpisivanjem Sigurnosne politike

NKG-a

A.6.1.2Koordinacija informacijske

sigurnostiDA

Ukoliko dođe do nekih promjena relevantnih za

ISMS, na redovitim mjesečnim sastancima će

se prijaviti te promjene.

A.6.1.3Dodjela sigurnosnih

odgovornostiDA

Odgovornost za pojedine resurse je

dokumentirana u Analizi rizika.

A.6.1.4Autorizacijski proces za

uvođenje novih resursaDA

Ravnatelj potvrđuje, a administrator definira

autorizacijski proces za uvođenje novih

resursa koji će uključivati provjere hardvera i

softvera prije uporabe u procesu. (Dokument u

izradi)

A.6.1.5 Sporazumi o povjerljivosti DA

Svi djelatnici škole trebaju potpisati Sporazum

o povjerljivosti. Trebalo bi također iznaći način

da se i učenici obvežu na poštivanje sigurnosti

Dokument u izradi).

A.6.1.6Suradnja s mjerodavnim

ustanovamaDA

Ravnatelj, tajništvo, pedagog trebaju redovito

kontaktirati predstavnike relevantnih institucija.

A.6.1.7Suradnja s interesnim

skupinamaDA

Administrator treba redovito pratiti relevantne

objave o otkrivenim prijetnjama i ranjivostima,

kao i sve novosti na području razvoja Web.

aplikacija. (Dokument praćenja aktivnosti u

izradi)

A.6.1.8Nezavisni ispitivanje

informacijske sigurnostiDA

Uprava treba inicirati nezavisno ispitivanje

ISMS-a u planiranim intervalima. (Dokument u

izradi)

A.6.2 Vanjski suradnici

A.6.2.1Identifikacija rizika povezanog

s vanjskim suradnicimaNE

Identifikacija rizika povezanog s vanjskim

suradnicima nije uključena jer nije bilo potrebe,

međutim u budućnosti bi trebalo riješit ovo

pitanje (Izraditi dokument u budućnosti)


55

A.6.2.2 Sigurnost u poslovanju s

klijentimaNE Škola nema klijente.

A.6.2.3Sigurnost i usluge vanjskih

suradnikaNE

Sigurnosni uvjeti trebali bi biti sastavni dio

ugovorima sklopljenih s vanjskim suradnicima.

Ovaj dokument čim se ukaže potreba trebalo bi

ga izraditi.

A.7 Upravljanje resursima

A.7.1 Odgovornost za imovinu

A.7.1.1 Inventura imovine DAInventura imovine je obavljena. Vidjeti

dokument Inventura NKG-a

A.7.1.2 Vlasništvo nad resursima DAVlasništvo nad resursima je izvršeno u sklopu

dokumenta Analiza rizika.

A.7.1.3 Prihvatljiva uporaba resursa DA

Potrebno je definirati, dokumentirati i

implementirati pravila za uporabu resursa.

(Dokument u izradi)

A.7.2 Klasifikacija informacija

A.7.2.1 Klasifikacijske smjernice DA

Definirati prikladnu klasifikaciju informacija u

ovisnosti o njihovoj vrijednosti, osjetljivosti i

kritičnosti za organizaciju. Klasifikacija je dio

Analize rizika.

A.7.2.2 Označavanje informacija DA

Definirati prikladno označavanje informacija u

ovisnosti o njihovoj vrijednosti, osjetljivosti i

kritičnosti za školu. Određeno je Pravilnikom o

upravljanju povjerljivim informacijama

A.8 Sigurnost i ljudski resursi

A.8.1 Prije zaposlenja

A.8.1.1 Uloge i odgovornosti DA U sigurnosnoj politici su opisane uloge i

odgovornosti sudionika u procesu.

A.8.1.2 Provjere DAIzvršene su provjere identiteta i kvalifikacija

svih sudionika u procesu.

A.8.1.3 Uvjeti zaposlenja NEOdređivanje uvjeta zaposlenja u skladu sa

sigurnosnom politikom, a ravnatelj brine o

poštivanju navedenih uvjeta.

A.8.2 Tijekom zaposlenja


56

A.8.2.1 Odgovornost uprave DA

Potrebno je dokumentirati odgovornosti za

svaku ulogu u procesu i zatražiti potpisivanje

sukladnosti svih sudionika u procesu.

(Dokument u izradi)

A.8.2.2Edukacija i trening na

području informacijske

sigurnosti

DARavnatelj osigurava edukaciju i sigurnosni

trening svih sudionika u procesu. (Dokument u

izradi)

A.8.2.3 Disciplinski proces DA

Disciplinski proces je određen Zakonom o radu

i Statutom škole. Potrebno je uskladiti statut

škole s novim nepoćudnim radnjama vezanih

uz sigurnost sustava.

A.8.3 Nakon zaposlenja

A.8.3.1Odgovornosti kod prekida

zaposlenjaDA

Ravnatelj odobrava, a tajništvo brine o

sigurnosnim aspektima prekida zaposlenja.

A.8.3.2 Povrat imovine DAU ugovor o zapošljavanju uključiti vraćanje

organizacijske imovine u slučaju prekida

zaposlenja.

A.8.3.3 Uklanjanje pristupnih prava DA Administrator brine o uklanjanju svih pristupnih

prava nakon zaposlenja.

A.9 Fizička sigurnost

A.9.1 Sigurna područja

A.9.1.1 Sigurnosni opseg DA Radne prostorije su odvojene od prostorija

gdje se primaju klijenti. (Dokument u izradi)

A.9.1.2 Kontrola fizičkog pristupa DA Potrebno je organizirati kontrolu pristupa

sigurnosnom opsegu. (Dokument u izradi)

A.9.1.3 Osiguranje ureda, soba i

imovineDA Potrebno je osigurati osjetljive resurse od

neovlaštenog pristupa. (Dokument u izradi)

A.9.1.4 Zaštita od vanjskih prijetnji DA Potrebno je osigurati prikladnu zaštitu od

vanjskih prijetnji. (Dokument u izradi)

A.9.1.5 Rad u sigurnim prostorima DAPristup osjetljivim resursima (npr. file serveru)

je ograničena samo na autorizirane korisnike.

(Dokument u izradi)

A.9.1.6 Javni i dostavni prostor DARadne prostorije su odvojene od prostorija

gdje se primaju klijenti i dostava. (Dokument u

izradi)

A.9.2 Sigurnost opreme


57

A.9.2.1 Smještaj i zaštita opreme DAVrijedni resursi su zaštićeni kako bi se smanji

rizik od neautoriziranih aktivnosti i nenamjernih

fizičkih prijetnji.

A.9.2.2 Pomoćna oprema DASva pomoćna oprema (struja, grijanje,

ventilacija) je prikladna. (Djelomična

usklađenost)

A.9.2.3 Sigurnost kabela DA Gdje je to moguće, naponski i komunikacijski

kabeli su odvojeni.

A.9.2.4 Održavanje opreme DAOprema se prikladno provjerava i održava u

planiranim intervalima, te se vodi zapisnik o

servisiranju i popravcima . (Dokument u izradi)

A.9.2.5Sigurnost opreme izvan

prostorija organizacijeDA

Potrebno je dogovoriti sigurnost opreme škole

koja se nalazi na nekoj drugoj lokaciji ili koja se

iznosi izvan prostorija organizacije.

A.9.2.6 Sigurno odlaganje opreme DAGdje je to moguće, oprema će se odbaciti

prema proceduri koju će donijeti škola.

(Dokument u izradi)

A.9.2.7 Premještanje opreme DA

Potrebno je odrediti način premještanja i voditi

evidenciju premještanja opreme. Postoji

oprema u vlasništvu škole koja se nalazi na

nekoj drugoj lokaciji. (Dokument u izradi)

A.10Upravljanjekomunikacijama ioperacijama

A.10.1 Operativne procedure i

odgovornosti

A.10.1.1Dokumentiranje operativnih

proceduraDA

Potrebna je izrada procedure za proces

uspostavljanja upravljanja dokumentima.

Web aplikacija.

A.10.1.2 Upravljanje promjenama DAPotrebno je dokumentirati sve promjene u

operativnim sustavima, procesima,

aplikacijskim programima i sl.

A.10.1.3 Odvajanje dužnosti DAOdvajanje dužnosti nije moguće potpuno

provesti zbog veličine škole i ograničenog

broja djelatnika određene struke.

A.10.1.4Odvajanje razvojnog, testnog

i operativnog okruženjaDA

Odvajanje okruženja se treba provesti u što

većoj mjeri, a u slučajevima gdje to nije

moguće, povećati nadzor nad aktivnostima.

(Dokument u izradi)


58

A.10.2 Upravljanje uslugama

treće strane

A.10.2.1 Pružanje usluge NEDokumenti će se izraditi u onom trenutku kada

će se odlučiti pružati astronomske usluge ili

neke druge usluge „trećoj osobi“.

A.10.2.2Nadzor nad uslugama treće

straneNE

Prate se performanse usluga i suradnjom s

trećom stranom se rješavaju svi evidentirani

problemi.

A.10.2.3Upravljanje promjenama u

uslugama treće strane.NE

Sve relevantne promjene u uslugama se

identificiraju i vrši se usklađivanje s

promjenama.

A.10.3 Planiranje i prihvaćanje

sustava

A.10.3.1 Upravljanje kapacitetom DAPostoji neformalni proces planiranja kapaciteta

i upravljanja istim. To je dovoljno za sadašnje

aktivnosti.

A.10.3.2 Prihvaćanje sustava DA Potrebno je utemeljiti formalni proces

prihvaćanja novih sustava. (Dokument u izradi)

A.10.4 Zaštita od malicioznog i

mobilnog koda

A.10.4.1 Zaštita od malicioznog koda DAU upotrebi je anti-virusni softver za zaštitu

uredskih i poslužiteljskih računala od

malicioznog koda.

A.10.4.2 Zaštita od mobilnog koda DAZaštita od prenošenja i izvršenja mobilnog

koda tek se treba izraditi u obliku nadzora svih

računala. (Proces u izradi)

A.10.5 Sigurnosne kopije

A.10.5.1 Sigurnosne kopije informacija DA Potrebno je izraditi politiku sigurnosnih kopija.

(Dokument u izradi)

A.10.6 Upravljanje mrežnom

sigurnošću

A.10.6.1 Mrežne kontrole DAVatrozid postavljen. Potrebno je izraditi

proceduru koja opisuje prihvatljive mrežne

servise i protokole. Uspostava DMZ-a.

A.10.6.2 Sigurnost mrežnih usluga DA

Potrebno je implementirati tehnička, kao i

proceduralna rješenja za sigurno korištenje

mrežnih usluga. Uspostava DMZ-a.

(Dokument u izradi)


59

A.10.7 Rukovanje medijima

A.10.7.1Upravljanje uklonjivim

medijimaDA

Potrebno izraditi dokumente o upotrebi,

zamjeni, provjeri informacija na izmjenjivim

medijima .

A.10.7.2 Odlaganje medija DAIzrada dokumenta o odlaganju i čuvanju

medija.

A.10.7.3Procedure za rukovanje

informacijamaDA

Potrebno je izraditi proceduru za rukovanje

osjetljivim informacijama.

A.10.7.4 Sigurnost sustavske

dokumentacijeDA Dokumentacija o postavkama sustava tek se

treba izraditi.

A.10.8 Razmjena informacija

A.10.8.1Politike i procedure razmjene

informacijeDA

Potrebno je utemeljiti proceduru za razmjenu

osjetljivih informacija u procesu.

A.10.8.2Sporazumi o razmjeni

informacijaDA

Prilikom slanja e-pošte, tj. vanjska

komunikacija, potrebno je označiti slanje

osjetljivih informacija.

A.10.8.3 Transport fizičkih medija DA Ne postoji transport fizičkih medija.

A.10.8.4 Elektroničke poruke DAPotrebno je kriptografskim algoritmom zaštititi

obavijesti dobivene automatskim nadzorom

sustava.

A.10.8.5 Poslovni informacijski sustavi NENe postoji sustav razmjene informacija koji je

rizičan.

A.10.9 E-trgovinske usluge

A.10.9.1 E-trgovina NE Škola se ne bavi e-trgovinom.

A.10.9.2 On-Line transakcije DA Škola koristi usluge e-bankarstva. Izrada

dokumentacije tog procesa.

A.10.9.3 Javno dostupne informacije DA Potrebno je zaštititi integritet Web forme za

prijavu učenika.

A.10.10 Nadziranje

A.10.10.1 Kontrola dnevnika DAPotrebno je periodičko pregledavanje zapisa o

pristupu kritičnim resursima (npr. poslužitelji u

sustavu).


60

A.10.10.2 Nadzor uporabe sustava DA Potrebno je nadzirati pristup kritičnim

resursima.

A.10.10.3 Zaštita informacija u

dnevnicimaDA Dnevnici se trebaju arhivirati na zaštićenom

mjestu.

A.10.10.4Administratorski i operativni

dnevniciDA

Potrebno je osigurati automatsko zapisivanje

aktivnosti administratora prilikom rada na

poslužiteljima

A.10.10.5 Dnevnik grešaka DAPotrebno je osigurati automatskog zapisivanja

svih grešaka u radu svih poslužitelja.

A.10.10.6 Vremenska sinkronizacija DAVrijeme se automatski sinkronizira prema UTC

standardu. Svi relevantni mrežni uređaji nužno

moraju biti usklađeni.

A.11 Kontrola pristupa

A.11.1 Poslovni zahtjevi kontrole

pristupa

A.11.1.1 Politika kontrole pristupa DAPotrebno ja izraditi proceduru za kontrolu

pristupa koja će opisati odgovornosti korisnika,

prihvatljivu uporabu resursa i sl.

A.11.2 Upravljanje pristupom

korisnika

A.11.2.1 Prijava korisnika DA Postoji procedura dodjeljivanja i opoziva

korisničkih prava.

A.11.2.2 Upravljanje privilegijama DA Privilegije se dodjeljuju po potrebi i u skladu s

politikom kontrole pristupa.

A.11.2.3 Upravljanje korisničkim

lozinkamaDA Postoje minimalni zahtjevi koje lozinka mora

zadovoljiti.

A.11.2.4Pregled pristupnih prava

korisnikaDA

U slučaju promjene statusa korisnika, revidiraju

se i pristupna prava.

A.11.3 Obveze korisnika

A.11.3.1 Uporaba lozinki DA Korisnici su svjesni svojih odgovornosti.

A.11.3.2 Oprema bez nadzora DA Korisnici su svjesni svojih odgovornosti.


61

A.11.3.3Politika održavanja radnog

stola i ekranaDA

Treba izraditi politiku održavanja radnog stola i

ekrana.

A.11.4 Kontrola pristupa mreži

A.11.4.1 Politika uporabe mrežnih

uslugaDA Postoji neformalna politika korištenja mrežnih

usluga, treba izraditi dokumentaciju iste.

A.11.4.2Autentifikacija za vanjske

konekcijeDA

Potrebna je autentifikacija prije spajanju na

Web poslužitelj i poslužitelj e-mail pošte.

A.11.4.3 Identifikacija opreme u mreži DAU testnom okruženju je uspostava aplikacije i

baze podataka OCS Inventory NG za

prepoznavanje računalne opreme.

A.11.4.4Zaštita dijagnostičkih i

konfiguracijskih priključakaDA

Kontrolira se pristup dijagnostičkim i

konfiguracijskim priključcima.

A.11.4.5 Odvajanje u mrežama NENema potrebe za dijeljenjem mreže i

odvajanjem posebnih cjelina iste.

A.11.4.6 Kontrola mrežnog

povezivanjaDA Kontroliraju se mrežne konekcije u skladu s

politikom kontrole pristupa.

A.11.4.7 Kontrola mrežnog

usmjeravanjaDA Vatrozid obavlja funkciju kontrole mrežnog

usmjeravanja.

A.11.5 Kontrola pristupa

operacijskim sustavima

A.11.5.1 Procedure prijave na sustav DASvi zaposleni se prijavljuju na sustav sigurnim

načinom, ali nedostaje dokumentacija

procedure.

A.11.5.2 Korisnička identifikacija i

autentifikacijaDA Svi korisnici imaju jedinstveno korisničko ime i

lozinku.

A.11.5.3 Sustav za upravljanje

lozinkamaDA Upotrebljava se prikladan sustav upravljanja

lozinkama.

A.11.5.4 Uporaba sustavskih uslužnih

programaNE Nema potrebe za ograničavanjem pristupa

sustavskim uslužnim programima.

A.11.5.5 Vrijeme isteka sjednice DAOdrediti adekvatno vremensko ograničenje

neaktivnosti računala i aplikacije u

informacijskom sustavu.

A.11.5.6Ograničavanje vremena

spajanjaNE

Nema potrebe za ograničavanjem vremena

spajanja.

A.11.6 Aplikacijska i informacijska

kontrola pristupa


62

A.11.6.1 Ograničavanje pristupa

informacijamaDA Ograničen je pristup podacima preko podjele

prava pristupa na windows poslužitelju

A.11.6.2 Izolacija osjetljivih sustava NE U sustavu nema osjetljivih procesa koji

zahtijevaju izolaciju.

A.11.7 Mobilno računarstvo i

udaljeni rad

A.11.7.1Mobilno računarstvo i

komunikacijeDjelomično

Nije uobičajena praksa rada na daljinu. Od

korisnika jedino Administrator povremeno zna

zbog provjere sustava koristiti udaljeni pristup.

A.11.7.2 Udaljeni rad NE Nije uobičajena praksa rada na daljinu.

A.12 Nabava, razvoj i održavanje

informacijskog sustava

A.12.1 Sigurnosni zahtjevi

informacijskih sustava

A.12.1.1 Analiza i specifikacija

sigurnosnih zahtjevaDA Potrebno je dokumentirati sigurnosne zahtjeve

prilikom nabave ili nadogradnje sustava.

A.12.2 Ispravna obrada informacija u

aplikacijama

A.12.2.1 Provjera valjanosti ulaznih

podatakaNE Nema takvih podataka koji iziskuju provjeru.

A.12.2.2 Kontrola obrade podataka NE Nema takvih podataka koji iziskuju provjeru.

A.12.2.3 Cjelovitost poruka NE Nema potrebe za zaštitom cjelovitosti poruka.

A.12.2.4 Provjera valjanosti izlaznih

podatakaNE Nema takvih podataka koji iziskuju provjeru.

A.12.3 Kriptografske kontrole

A.12.3.1Politika uporabe

kriptografskih kontrolaDA

Kriptografija se ne koristi u sustavu. Poželjno

bi bilo razmisliti o njenom uvođenju.

A.12.3.2 Upravljanje ključevima NE Kriptografija nije dio sustava.

A.12.4 Sigurnost sistemskih datoteka

A.12.4.1 Kontrola operativnog softvera DAPostoje kontrole za instalaciju novog softvera

na sustave, instalaciju sigurnosnih zakrpa, te

deinstalaciju softvera.


63

A.12.4.2 Zaštita ispitnih podataka NEIspitne podatke ne treba štititi, jer podaci koji

se koriste u testne svrhe najčešće nisu potpuni

i dostupni su malom broju korisnika.

A.12.4.3Kontrola pristupa izvornom

tekstu programaNE

Pristup izvornom kodu programa ne treba

kontrolirati jer su izrađene aplikacije

edukativne naravi.

A.12.5 Sigurnost i razvoj programske

opreme

A.12.5.1Procedure za kontroliranje

promjenaDA

Potrebno je utemeljiti procedure kroz koje će

se kontrolirati sve promjene u programskoj

opremi.

A.12.5.2Tehnički pregled aplikacija

nakon promjene u

operacijskim sustavima

DAPri promjenama u operacijskim sustavima,

testiraju se aplikacije koje se na njih oslanjaju.

A.12.5.3Ograničenja promjena u

programskim paketimaNE

Izvode se samo nužne i kontrolirane promjene

u programskim paketima.

A.12.5.4 Curenje informacija DA Mogućnost curenja informacija je minimalna.

A.12.5.5Razvoj softvera izvan

organizacijeNE

Škola nema partnera za razvoj programske

opreme.

A.12.6Upravljanje tehničkim

ranjivostima

A.12.6.1 Kontrola tehničkih ranjivosti DA Tehničke ranjivosti se nadzire i rješava

(Dokument u izradi)

A.13 Upravljanje sigurnosnimincidentima

A.13.1 Prijava sigurnosnih incidenata

i ranjivosti

A.13.1.1 Prijava sigurnosnih incidenata DA Svi detektirani sigurnosni incidenti se

prijavljuju. Izrada evidencije prijave.

A.13.1.2 Prijava sigurnosnih ranjivosti DASve detektirane ranjivosti sustava koji su u

uporabi se prijavljuju. Izrada evidencije

ranjivosti.

A.13.2 Upravljanje sigurnosnim

incidentima i poboljšanjima

A.13.2.1 Odgovornosti i procedure DA Potrebno je utemeljiti procedure za brzo i

efikasno reagiranje na sigurnosne incidente.


64

A.13.2.2 Učenje iz incidenata DA O svim incidentima se raspravlja na mjesečnim

sastancima.

A.13.2.3 Skupljanje dokaza DA Sakupljanje dokaza je dužnost svakog

pojedinog zaposlenika.

A.14 Upravljanje poslovnimkontinuitetom

A.14.1 Sigurnosni aspekti upravljanja

poslovnim kontinuitetom

A.14.1.1Uključivanje informacijske

sigurnosti u upravljanje

poslovnim kontinuitetom

DA Plan poslovnog kontinuiteta treba izraditi.

A.14.1.2 Poslovni kontinuitet i procjena

rizikaDA Plan poslovnog kontinuiteta se oslanja na

procjenu rizika.

A.14.1.3 Razvoj i implementacija plana

poslovnog kontinuitetaDA Plan poslovnog kontinuiteta treba izraditi.

A.14.1.4 Okvir za plan poslovnog

kontinuitetaDA Postoji okvir plana poslovnog kontinuiteta koji

osigurava da su sve akcije konzistentne.

A.14.1.5

Testiranje, održavanje i

procjena plana poslovnog

kontinuiteta

DA

Testiranje, održavanje i procjena plana

poslovnog kontinuiteta će se obavljati redovito

u određenim vremenskim intervalima

A.15 Usklađivanje

A.15.1 Usklađivanje sa sigurnosnim

zahtjevima

A.15.1.1 Identifikacija primjenjivih

zakonaDA Svi primjenjivi zakoni su identificirani i uključeni

u ugovore sa zaposlenicima.

A.15.1.2 Intelektualno vlasništvo DA Uvjeti intelektualnog vlasništva su uključeni u

ugovore sa zaposlenicima.

A.15.1.3 Zaštita organizacijskih

dokumenataDA Postoje procedure za zaštitu osjetljivih

organizacijskih dokumenata.

A.15.1.4Zaštita privatnosti osobnih

podatakaDA

Organizacija se ugovorima s zaposlenicima

obvezuje na čuvanje privatnosti zaposlenika.

A.15.1.5 Sprječavanje zlouporabe

resursaDA Zaposlenici su upoznati s odgovornostima

prilikom uporabe resursa.

A.15.1.6Regulacija kriptografskih

kontrolaNE Kriptografija nije dio procesa.


65

A.15.2Usklađivanje sa sigurnosnim

politikama i standardima, te

tehničko usklađivanje

A.15.2.1Usklađivanje sa sigurnosnim

politikama i standardimaDA

Na mjesečnim sastancima se raspravlja o

usklađenosti sa sigurnosnim standardima i

politikama.

A.15.2.2 Provjera tehničke

usklađenostiDA Provjera tehničke usklađenosti se izvodi u

planiranim intervalima. (Dokument u izradi)

A.15.3 Revizija informacijskih

sustava

A.15.3.1 Kontrola revizije

informacijskih sustavaDA Planiraju se nezavisne revizije informacijskih

sustava

A.15.3.2 Zaštita informacijskih sustava

tijekom revizijeDA Kontrolira se pristup nezavisnih revizora.

Tablica 12 - Izjava o primjenjivosti (SOA)

Implementacija i rad ISMS-a

66

4. Implementacija i rad ISMS-a(PDCA model – DO)

Općenito

Puštanje u rad ISMS podrazumijeva sljedeće korake

Formuliranje plana zaštitnih mjera koje podupiru plan uprave, sredstva,

odgovornost i prioritete upravljanja informatičkom sigurnošću.

Implementiranje plana zaštitnih mjera.

Određivanje kontrolnih točaka (mehanizama) u svrhu postizanja

kontrolnih ciljeva.

Određivanje načina mjerenja efikasnosti određenih kontrola, kontrolnih

točaka i kako zaštitne mjere utječu na ocjenu efikasnost tih kontrola.

Uspostavljanje programa obuke i podizanja svijesti o informacijskoj

sigurnosti.

Upravljanje radnim akcijama ISMS-a.

Upravljanje imovinom (resursima) ISMS-a.

Implementiranje procedura i drugih kontrola koje su sposobne u pravo

vrijeme detektirati sigurnosne događaje i promptno odgovoriti na njih

Opažanja

Određene stavke izvršenja ISMS-a neće biti ispunjene. Razlog leži u

neispunjenju svih stavki dokumentiranosti sustava. Upravo zbog toga početak

rada će se prolongirati do trenutka kada će i formalno sustav biti spreman.

Plan zaštitnih mjera u NKG-u:

Imovina Zaštitna mjera

Uspostava DMZ-a, nadgledavanje prometaIzrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Uspostava video nadzoraUpisivanje imovine u GLPI bazu, dodjelainventarskog brojaIzrada dokumenta o bilježenju sigurnosnihincidenata

Općenito na područjuškole

Edukacija korisnika


67

Instalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužitelja – (eng.Group policy)Izrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Promjena korisničkog imena administrator u nekodrugo, obavezno uključiti i administratora u sustavvremenskog ograničenja trajanja lozinkeIzrada dokumenta koji uključuje stablo dijeljenihdirektorija s pravima korisnikaNadogradnja UPS-aNadgledanje rada učenikaUspostava sustava nadogradnje sigurnosnih zakrpaza stolna računala

Windows poslužitelj_1

Nadgledavanje i određivanje načina rada prijenosneUSB memorijeInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužitelja – (eng. Group policy)Izrada plana arhiviranja (bilježenje izrade i kontrolearhiva, određivanje granica arhiviranja i sl.)Podešavanje računala kao rezervnog poslužitelja zauslugu AD-a

Windows poslužitelj_2

Uspostava UPS-aInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjitiNadogradnja UPS-a

Linux poslužitelj_1

Uspostava pričuvne veze prema InternetuInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjiti


Nadogradnja UPS-aInstalacija svih sigurnosnih zakrpaIzrada dokumenta o sigurnosnim postavkamaposlužiteljaSigurnosne prijetnje ukloniti ili smanjiti


Nadogradnja UPS-a

Stolna računala Instalacija svih sigurnosnih zakrpa

Tablica 13 - Popis zaštitnih mjera

Kontrolne točke u ostvarenju ovog popisa nisu definirane. Razlog toga je što se

svako računalo može gledati kao zasebna točka izvršenja plana zaštitnih mjera.

Brzina i ostvarenje pojedinih mjera ovisi isključivo o dobivenom novcu.


68

4.1. Troškovi implementacije ISMS-aVećina posla implementacije čini izrada potrebne dokumentacije, a tek manji dio

čini nabava opreme. Najčešće se broj utrošenih sati ne računa pod trošak, ali oni

moraju biti evidentirani. Iz analize sustava vidljiva je oprema koja je nužna za

uspostavu sigurnog i upravljivog sustava. Iz tablice 9. je vidljivo koliki je mogući

trošak uspostave ISMS-a. Naravno ovaj izračun nije uzeo u obzir i troškove samog

certificiranja koji ovisi o agencijama koje vrše tu uslugu.

Nužno:

Za uspostavu DMZ-a potrebno je novo računalo poslužitelj ili gotova

mrežna oprema s funkcionalnošću DMZ-a, nadzora i detekcijom napada.

Nabava UPS-a

Opcionalno:

Uspostava video nadzora

Zamjena magistralnih mrežnih UTP kablova s optičkim vlaknima –

opcijski

Zamjena iz preventivnih razloga windows poslužitelja (starost računala)

Oprema Cijena

DMZ uređaj 11.000,00 kn

UPS – uređaji (4 kom) 8.000,00 kn

Video nadzor (poslužitelj + 4 IP kamere) 14.000,00 kn

Zamjena mrežnih

kablova - magistrala 30.000,00 kn

Zamjena windows poslužitelja 8,000,00 kn

Edukacija korisnika sustava o sigurnosti 4.000,00 kn

Broj utrošenih sati na uspostavu ISMS-a

(procjena na temelju rada dviju osoba)

900 sati

x 50 kn/sat

Ukupno 100.000,00 kn

Tablica 14 - Izračun troškova uspostave ISMS-a


69

4.2. Mjerenje efikasnosti ISMS-a i upravljanje sustavomOpćenito

Ovo područje je jedno od najnezgodnijih u uspostavi i radu ISMS-a. Mjerenje

efikasnosti sustava, određivanje metrike, te na temelju toga određivanje kvalitete

sustava, nezgodna je obveza.

Naime, na temelju izrađenih dokumenta i kontrola treba odrediti jesu li se u

praksi zadane kontrole provodile ili su samo mrtvo slovo na papiru. Upravo zbog

ove činjenice nužna je svaka potvrda uprave organizacije provoditelju

implementacije, kao legitimnog načina prisile, u izvršenju zadanih kontrola

sigurnosti u sustavu.

Sama metrika se najčešće određuje kao numerički iskazani broj kontrola koje

se provode. Rezultati provedbe se prezentiraju tijelu uprave organizacije. Radi što

lakše mjerljivosti efikasnosti sustava, u sustavima se implementiraju automatski

procesi nadgledavanja izvršenja pojedinih sigurnosnih kontrola.

4.3. Upravljanje imovinom (resursima) i dokumentacijomISMS-a

Upravljanje imovinom, dokumentacijom, podrazumijeva stjecanje, korištenje i

raspolaganje tim resursom tj. imovinom.

Opažanja

Nadbiskupska klasična gimnazija tek je stasala u mogućnosti upravljanja

resursima i dokumentacijom. U tu svrhu su i pokrenuti procesi inventure, punjenje

baze podataka i korištenje web aplikacija GLPI i OpenDocMan kao glavni način

raspodijele i pristupa informaciji o resursu.

U daljnjem radu sustava će se očitovati kvaliteta upravljanja.

Nadgledanje i kontrola ISMS-a

70

5. Nadgledanje i kontrola ISMS-a (Check)Općenito

Organizacija treba:

Izvršavati nadgledavanje i izvješća o procedurama i drugim kontrolama:

Obveza izrade kontinuiranog izvještaja o provjeri efikasnosti ISMS-a

Mjerenje efikasnosti kontrola i verifikaciji sigurnosnih potreba

Izrada izvješća o procjeni rizika, izvješća o ostalim nepokrivenim

opasnostima i određivanje razine dozvoljenih opasnosti u planiranim

intervalima

Provođenje internih revizija u planiranim intervalima

Obveza izvještavanja uprave o ISMS-u i kontinuiranog unaprjeđenja

poslovnih procesa

Nadograđivanje sigurnosnih planova vezanih uz nadgledavanje i

izvještavanje

Pohranjivanje događaja i akcija koje mogu utjecati na efikasnost i

performanse ISMS-a

Opažanja

Rad ISMS-a, obveze izrada izvještaja efikasnosti ISMS-a, mjerenje

primijenjenih i uspostavljenih kontrola, provođenje internih i vanjskih revizija,

nadogradnja sigurnosnih planova i pohrana podataka koje je sam sustav proizveo,

je nešto što će tek doći u narednom razdoblju.

Održavanje I unapređivanje ISMS-a

71

6. Održavanje i unapređivanje ISMS-a(eng. Act , Improve)

Općenito

Organizacija treba:

a) Ugrađivati poznate nadogradnje u ISMS

b) Napraviti prihvatljive korektivne i preventivne aktivnosti

c) Objaviti sve akcije i nadogradnje svim interesnim skupinama

d) Osigurati da će se nadogradnjom postići planirani ciljevi

Opažanja

Održavanje ISMS-a i njegovo unaprjeđivanje je dio koji započinje s prvim

danom primjene, bez obzira je li škola ISO/IEC 27001 certificirana ili nije.

Važno je redovito provjeravati i unapređivati upravljački okvir. Zbog činjenice da

je sigurnost područje koje se neprestano mijenja, potrebno je redovito obavljati

inspekcije i ažuriranje sustava. Npr. zastarjeli anti-virusni softver je od vrlo slabe

koristi.

Osnovno o dokumentiranju

72

7. Osnovno o dokumentiranjuDokumentiranje bi trebalo uvrštavati sve dokumente, odluke, radne akcije koje

potkrepljuju odlučivanje o sigurnosnoj politici. Svakako je važno imati mogućnost

demonstracije relacija između kontrolnih točaka i rezultata djelovanja sigurnosnih

zaštitnih mjera.

Dokumenti potrebni za ISMS trebaju biti zaštićeni i kontrolirani. Dokumentirana

procedura trebale bi sadržavati definirane radne akcije. Svaki dokument se mora

potvrditi od strane nadležne osobe, svaka promjena je podložna potvrdi. Provjera

pristupa je također kontrolirana u obliku kontrole zapisa.

Potrebno je osmisliti način čuvanja zapisa o sigurnosnim događajima u svrhu

dokaza i daljnjeg lakšeg planiranja usavršavanja ISMS-a.

Svaki dokument na naslovnoj stranici treba sadržavati ove podatke:

Naziv dokumenta: Diplomski rad

Broj verzije: Verzija 1

Datum izrade: 25.03.2008

Vlasnik Dokumenta: Ivan Poljak

Status

Klasifikacija

Tablica 15 - Zaglavlje svakog dokumenta

Verzija Datum Autor / Vlasnik Opis promjene

0 10.12.2007 Ivan Poljak Početni dokument.

1 25.03.2008 Ivan Poljak Promjena podataka u diplomskom radu

Tablica 16 - Povijest promjena na dokumentu


73

Ime i Prezime Odgovornost Datum Status

Tablica 17 - Odobrenje ovlaštene osobe o uporabi dokumenta

ISMS dokumentaciju bi trebali sačinjavati niže pobrojani dokumenti. Pojedini

dokumenti se mogu izostaviti ukoliko je to određeno unutar

Izjave o primjenjivosti sustava.

Dokumenti implementacije:

ISMS – definicija područja

ISO/IEC 27002 Izvješće analize sustava

ISMS Implementacijske preporuke

ISMS Implementacijski Plan

Plan obrade rizika

Izjava o primjenjivosti (eng. Statement of Applicability)

Upravljanje rizikom (metodologija/pristup/strategija)

Uspostavljena ISMS strukture

Dokumenti politike informacijske sigurnosti (referenciraju se na ISO 27002)

Politika kontrole pristupa

Politika praznog stola i prazno ekrana (eng. “Clear Desk” i “Clear

Screen)“

Politika arhiviranja i čuvanja podataka

Klasifikacija podataka i kontrola

Uništavanje podataka / media / opreme / resursa

Sigurnosna politika eCommerce

Politika zaštite i korištenja e-pošte

Politika procjene rizika sigurnosti informacijskog sustava

Politika korištenja “usluga treće strane”

Politika korištenja prijenosnih uređaja


74

Politika udaljenog rada i pristupa sustavu

Politika lozinki

Politika testa probojnosti sustava (eng. Penetration Testing Policy)

Politika osobne sigurnosti

Politika fizičke sigurnosti

Politika privatnosti

Politika licenciranja

Politika borbe protiv neželjene pošte

Politika pohrane I vračanja sistemskih podataka

Politika nadzora sistemskog korištenja

Politika pristupa sustavu „treće strane“

Politika zaštite od malicioznih programa

Dokumenti o primjeni osnovnih sigurnosno-tehničkih standarda za

Aplikacijske i ostale poslužitelje

Baze podataka (e.g. Oracle, DB2, Sybase, Access ...)

Uredska računala, prijenosnike, PDAs

Razvojne sustave

DMZ (uređaji u DMZ zoni: Web poslužitelj, poslužitelj e-pošte i ostali

poslužitelji vezani na Internet)

Vatrozid

Glavna računala

Operativne sustave (e.g. Windows XP, Windows 2003, Windows CE,

razni UNIX, MVS itd.)

Usmjerivači i preklopnici

Testni sustav

Sustavi „trećih strana“ koji se nalaze unutar ustanove

Žičana i bežična mreža (LAN, WAN, WiFi, itd..)


75

Procedure vezane uz sigurnost dokumenata

Procedura arhiviranja (eng. Backup)

Procedure procjene i analize sustava

Procedure o rješavaju sigurnosnih incidenata

Procedure fizičkog pristupa

Procedure sigurnosnih nadogradnji

Procedure sigurnosnih postavki administratora

Procedure zaštite sustava

Procedure provjere sistemske sigurnosti

Procedure korisničke podrške

Procedure upravljanja sustavom

Procedure korektivno/preventivnih kontrola

Procedura dokumentiranja i izrade zapisa kontrola

Procedura unutarnje ISMS provjere

Napuci vezani uz informacijsko sigurnosne smjernice

Materijali o značaju informacijske sigurnosti i opća informiranost

Postavke informacijske sigurnosti vezane uz radno mjesto

Podaci o vlasniku resursa

Analitičar informacijske sigurnosti

Planer informacijske sigurnosti

Upravitelj informacijske sigurnosti

Djelatnik odjela informacijske sigurnosti

Ispitivač informacijske sigurnosti

IT revizor

Sistem Administrator


76

ISMS operativni dokumenti/zapisi

Plan upravljanja kontinuitetom poslovanja

Izvješće i lista procjene utjecaja na pad sustava

Plan vraćanja sustava uslijed nepogode, nesreće

Popis imovine, resursa informacijskog sustava

Izvješće o sigurnosnim incidentima

Ocjena planiranja sustava i popis mjera izgradnje sustava

Popis ranjivosti i prijetnji (izvješća, upitnici, i sl.)

Dnevnik izrade sigurnosnih kopija i smještaja medija

Plan kontinuiteta poslovanja

Popis osnovnih aplikacija za uredska računala

Registar sigurnosnih incidenata u sustavu

Lista pristupa sustavu privilegiranih, administratora i autoriziranih

korisnika

Registar rizika

Registar licenci aplikativnih programa

Nadogradnja sustava i zapisi anti-virus zaštite

Zapisi o pristupu i konekciji „treće strane „ na sustav

Zaključak

77

8. ZaključakNadbiskupska klasična gimnazija kao odabir uspostave ISMS-a djelovao je u

početku kao vrlo jednostavan proces, koji se može odraditi bez velikih problema

Proučavanjem literature, dubinskom analizom školskog sustava, onolikom

koliko je bilo dozvoljeno, sve više se uviđa da vrlo jednostavan informacijski sustav

nije ni približno toliko jednostavan. Upravo suprotno, taj sustav ima odlike bilo

kojeg većeg sustava. Prilikom izrade dokumentacije, analize sustava, uočava se

jedna vrlo zanimljiva osobina sustava. Sustav unatoč sigurnosnim manama,

problemima nedostatka novca, solidno funkcionira. Korištenje sustava se najviše

očituje u nastavi informatike, astronomije. Edukacijom svih korisnika sve više se

iskorištavaju mogućnosti računalne mreže. Porast korištenja će zasigurno

pridonijeti i povećanju informacija. Škola nema puno informacija klasificiranih kao

tajne i još uvijek većinu dokumenata drže u papirnatom obliku, međutim povećanje

korištenja usluga računalne mreže vidljivo je iz dana u dan.

ISMS je trenutno u fazi izrade dokumentacije, uklanjanja nedostataka. Treba

istaknuti da škola ima jednu osobu administratora, kojoj je dužnost uz poslove

izrade ISMS izvršavati i svoje standardne administratorske obaveze. ISMS u NKG

se može opisati kao teretni vlak. Krenuo je sporo, međutim teško ga je zaustaviti.

To je uostalom i poanta ISMS-a. Jedan zatvoreni kružni proces koji se stalno

nadopunjuje i kada je pokrenut nemoguće ga zaustaviti. Gledajući globalno u

svakoj školi bi trebalo razmišljati o uspostavi ISMS-a. Može se istaknuti da bi

izgradnja takvih sustava u školama zahtijevala jako puno novčanih sredstava, ali

prije svega i puno više osposobljenih djelatnika. Zbog toga se u sklopu

Ministarstva znanosti, obrazovanja i športa RH mogu uočiti projekti vezani uz e-

obrazovanje kojima je cilj pružanja usluge preko institucije CARNet umjesto

izgradnje sustava u svakoj školi pojedinačno. Neki projekt kao e-učionica neslavno

završe, dok se drugi projekti, web orijentirani uspješno provode (kao npr. portal za

e-učenje, e-pernica itd.).

Ovom implementacijom htjelo se pokazati da svaka organizacija, čak i

neprofitabilna, ima potrebu za izgradnjom sigurnosnog sustava. Najvažnija

činjenica u izgradnji sustava je educirati korisnika i natjerati ih primjeni znanja o

sigurnosti, tj. izgraditi svijesti o potrebi čuvanja i štićenja podataka.

Literatura

78

9. Literatura[1] ISO/IEC 27001:2005 - Information technology -- Security techniques --

Information security management systems – Requirements

[2] ISO/IEC 27002:2005 Information technology -- Security techniques --

Code of Practice for Information Security Management

[3] Injac, Nenad: Sustavi kvalitete 2000., Velika revizija normi ISO 9000,

Oskar, Zagreb 1999.

[4] Marijanović, Ivana: Upravljanje sigurnošću informacija, Diplomski rad,

FER, Zagreb, prosinac 2006.

[5] Cannon, David L.; Bergmann, Timothy S.; Pamplin, Brady: CISA

Certified Information System Auditor Study Guide, Wiley Publishing Inc.,

Indianapolis, 2006.

[6] Puthuseer, Vinod Kumar: ISMS Implementation Guide, s Interneta,

http://www.infosecwriters.com/text_resources/pdf/ISMS_VKumar.pdf,

25.03.2008.

[7] NIST: Risk Management Guide for Information Technology Systems, s

Interneta, http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf,

25.03.2008.

[8] Trinity information security services: ISO 27001 sample security audit, s

Interneta, http://www.trinitysecurity.com, 25.03.2008.

[9] ISO27k implementers' forum: Generic ISMS Documentation Checklist, s

Interneta,

http://www.iso27001security.com/ISO27k_Generic_ISMS_Documentatio

n_Checklist_2v1.rtf, 25.03.2008.

[10] Canal, Vicente Aceituno: Information Security Management Maturity

Model, s Interneta, http://www.cvib.nl/cvibnew/2006/02/ISM3_v1.20.pdf,

25.03.2008.

[11] Spivey, Mark D.: Practical hacking techniques and countermeasures,

Auerbach publications, New York, 2006.

http://www.infosecwriters.com/text_resources/pdf/ISMS_VKumar.pdf

http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf

http://www.trinitysecurity.com

http://www.iso27001security.com/ISO27k_Generic_ISMS_Documentatio

http://www.cvib.nl/cvibnew/2006/02/ISM3_v1.20.pdf

Literatura

79

[12] Causey, Brad; Rogers Bobby: Ethical Hacking and Penetration Testing

Training, VTC, 2006

[13] Tulloch, Mitch: Windows Server Hacks, O'Reilly Media, Inc., Sebastopol,

2004.

[14] prof. dr. sc. Hadjina, Nikola: Zaštita i sigurnost informacijskih sustava,

nastavni materijal sa zbirkom zadataka, Zagreb, 2004.

[15] ENISA: Risk Management/Risk Assessment in European regulation,

international guidelines and codes of practice, s Interneta,

http://enisa.europa.eu/rmra/files/rmra_regulation.pdf , 25.03.2008.

[16] ENISA: Risk Management:Implementation principles and Inventories for

Risk Management/Risk Assessment methods and tools, s Interneta,

http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_

Management_Final.pdf , 25.03.2008.

[17] UNDP: Strategija razvoja informacionog društva u BiH, s Interneta,

www.undp.ba/download.aspx?id=47, 25.03.2008.

[18] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih

sustava, s Interneta, http://www.cert.hr/, 25.03.2008.

[19] Razni dokumenti vezani uz upravljanje sigurnošću informacijskih

sustava, s Interneta, http://www.sigurnost.info/ , 25.03.2008.

[20] ISO 27001 Toolkit Trial, s Interneta, www.itgovernance.co.uk ,

25.03.2008.

[21] Beaver, Kevin; Davis, Peter T: Hacking Wireless Networks For

Dummies, Wiley Publishing Inc., Indianapolis, 2005.

[22] Carpenter, Tom: Windows 2003 Security Implementation, Learnkey,

2004.

http://enisa.europa.eu/rmra/files/rmra_regulation.pdf

http://www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_

www.undp.ba/download.aspx

http://www.cert.hr/

http://www.sigurnost.info/

www.itgovernance.co.uk

Dodatak A: Dokumenti ISMS-a u NKG

80

Dodatak A: Dokumenti ISMS-a u Nadbiskupskoj klasičnojgimnaziji

1) Sigurnosna politika

Sigurnosna politika Nadbiskupske klasične gimnazije temelji se na sigurnosnoj

politici CARNet-a. NKG je kao član CARNet-a dužan pridržavati se te sigurnosne

politike. Dozvoljeno joj je kao članici prilagođavati tu sigurnosnu politiku svojim

potrebama i mogućnostima, ali na način da nikada nije u suprotnosti sa izvornom

politikom. U daljnjem tekstu sigurnosne politike pod školom se smatra

Nadbiskupska klasična gimnazija (NKG).

Na koga se odnosi sigurnosna politika?

Pravila rada i ponašanja koja definira sigurnosna politika vrijede za:

Svu računalnu opremu koja se nalazi u prostorima Ustanove.

Administratore informacijskih sustava

Korisnike, među koje spadaju: zaposlenici, vanjski suradnici, učenici

Vanjske tvrtke koje po ugovoru rade na održavanju opreme ili softvera

Organizacija upravljanja sigurnošću

Ključna stvar pri provođenju sigurnosne politike informacijskog sustava jest da

se u svakom trenutku točno zna što je čiji posao i tko za što odgovara. Stoga je

potrebno raspodijeliti zaduženja i obrazovati korisnike, te oformiti stručna tijela za

upravljanje sigurnošću. Ljudi koji se u radu koriste računalima dijele se na

korisnike i davatelje informacijskih usluga.

Korisnici informatičkih usluga

Korisnici su osobe koje se u svom radu ili učenju služe računalima, proizvode

dokumente ili unose podatke, ali ne odgovaraju za instalaciju i konfiguraciju

softvera, niti za ispravan i neprekidan rad računala i mreže.

Svaki korisnik informacijskog sustava mora znati koja je njegova uloga u

poboljšanju sigurnosti ukupnog sustava.


81

Dužnosti korisnika su:

Pridržavanje pravila prihvatljivog korištenja, što znači da ne smiju koristiti

računala za djelatnosti koje nisu u skladu sa važećim zakonima, etičkim

normama i pravilima lokalne sigurnosne politike.

Izbor kvalitetne zaporke i njezina povremena promjena

Prijavljivanje sigurnosnih incidenata kako bi se što prije riješili problemi

Korisnici koji proizvode podatke i dokumente odgovorni su za njihovo

čuvanje. To znači da, na primjer, moraju od davatelja usluga zatražiti da

uspostave automatsku pohranu (backup) važnih informacija, ili u protivnom

moraju sami izrađivati sigurnosne kopije.

Dokumenti u elektroničkom obliku smatraju se službenim dokumentima na isti

način kao i dokumenti na papiru, pa treba osigurati njihovo čuvanje i ograničiti

pristup samo ovlaštenim osobama.

Glavni korisnik

Ukoliko ustanova koristi aplikacije za obradu podataka, na primjer

računovodstvene programe, radi poboljšanja sigurnosti jedna osoba imenuje se

glavnim korisnikom. U navedenom primjeru voditelj računovodstva bio bi glavni

korisnik.

Dok zaposlenici koji unose podatke odgovaraju za vjerodostojnost tih podataka,

glavni je korisnik odgovaran za provjeru ispravnosti podataka, za provjeru

ispravnosti i sigurnosti aplikacije, za dodjelu dozvola za pristup podacima i za

mjere sprečavanja izmjene podataka od strane neautoriziranih osoba. Glavni

korisnik kontaktira proizvođača aplikacije i dogovara isporuku novih verzija, traži

ugradnju sigurnosnih mehanizama itd.

Davatelji informatičkih usluga

Davateljima usluga smatraju se profesionalci koji brinu o radu računala, mreže i

informacijskih sustava. Na ustanovama članicama CARNeta to su sistem inženjer i

članovi njegova tima. Oni odgovaraju za ispravnost i neprekidnost rada

informacijskog sustava.


82

Specijalisti za sigurnost

Škola može za brigu o sigurnosti i pomoć pri rješavanju incidenata koristiti

pomoć CARNeta. Usprkos tome, preporučuje se imenovanje i obrazovanje

pojedinaca čija je zadaća briga za organizaciju i provođenje sigurnosnih mjera

navedenih u Sigurnosnoj politici.

Osoba čije je prvenstvena briga sigurnost informacijskih sustava je Voditelj

sigurnosti (engl. CSO, Chief Security Officer). Poželjno je da Voditelj sigurnosti

bude stručan, ali da istovremeno posjeduje sposobnost za vođenje ljudi i da je

komunikativan.

Njegova je briga ukupna sigurnost informacijskih sustava. To uključuje fizičku

sigurnost, pri čemu će surađivati sa zaposlenicima poput portira, čuvara i slično.

Voditelj sigurnosti piše pravilnike, nadzire rad mreže i servisa, organizira

obrazovanje korisnika i administratora, komunicira s upravom, sudjeluje u

donošenju odluka o nabavi računala i softvera, te sudjeluje u razvoju softvera,

kako bi osigurao da se poštuju pravila iz sigurnosne politike.

Ako škola zapošljava više stručnjaka za računarstvo, oformiti će Ekipu za hitne

intervencije i obučiti je za postupanje u slučaju incidentnih situacija. Ekipu čine

specijalisti različitih usmjerenja, na primjer za mrežu, Unix, Microsoft Windowse,

baze podataka itd. Ustanova treba u tom slučaju razraditi procedure za postupanje

u incidentnim situacijama, te obučiti članove Ekipe za hitne intervencije kako bi

mogli izvršiti istragu, te informacijski sustav što prije vratiti u redovno stanje.

Ustanova treba izraditi i održavati kontakt listu s imenima, brojevima telefona, e-

mail adresama osoba kojima se prijavljuju incidenti, od kvarova opreme, sporosti ili

nedostupnosti mrežnih usluga i podataka, do povreda pravila sigurnosne politike ili

zakonskih odredbi.

Administriranje računala

Davatelji usluga dužni su administrirati računala i mrežnu opremu u skladu s

pravilima struke, brinući istovremeno o funkcionalnosti i sigurnosti. Svako računalo

mora imati imenovanog administratora, koji odgovara za instalaciju i konfiguraciju

softvera. Ukoliko napredni korisnici žele sami administrirati svoje osobno računalo,

neka potpišu izjavu o tome, nakon čega za njih vrijede sva pravila za

administriranje računala.


83

Računala se moraju konfigurirati na taj način da budu zaštićena od napada

izvana i iznutra, što se osigurava instaliranjem softverskih zakrpi po preporukama

proizvođača, listama pristupa, filtriranjem prometa i drugim sredstvima.

Posebnu pažnju administratori su dužni posvetiti opremi koja obavlja ključne

funkcije ili sadrži vrijedne i povjerljive informacije koje treba štiti od neovlaštenog

pristupa. Administratori računala svakodnevno prate rad sustava, čitaju dnevničke

zapise i provjeravaju rad servisa. Zadaća je administratora i nadgledanje rada

korisnika, kako bi se otkrile nedopuštene aktivnosti.

Administratori su dužni prijaviti incidente specijalistu za sigurnost, te pomoći pri

istrazi i uklanjanju problema. Incidenti se dokumentiraju kako bi se pomoglo u

nastojanju da se izbjegnu slične situacije u budućnosti. Ukoliko je incident ozbiljan

i uključuje kršenje zakona, prijavljuju se CARNetovu CERT-u.

Davatelji usluga dužni su u svome radu poštivati privatnost ostalih korisnika i

povjerljivost informacija s kojima dolaze u dodir pri obavljanju posla. Da bi ih

ustanova obavezala na poštivanje tih pravila, neka potpišu Izjavu o čuvanju

povjerljivih informacija.

Upravljanje mrežom

Škole koje posjeduju razgranatu mrežu i svoje vlastite mrežne i komunikacijske

uređaje dužne su razraditi pravila koja određuju tko upravlja mrežom, konfigurira

mrežne uređaje, dodjeljuje adrese, kreira virtualne LAN-ove itd.

Osim što se odgovornost za rad mreže dodjeljuje određenim ljudima, mogu se

propisati i procedure za priključivanje računala u mrežu, odrediti obrasce kojima se

izdaje odobrenje za priključenje računala na mrežu i dodjeljuje im se adresa.

Djelatnik zadužen za upravljanjem mrežom mora u svakom trenutku imati točan

popis svih mrežnih priključaka i umreženih uređaja, uključujući i prenosiva

računala. Ukoliko je podržan rad na daljinu, na primjer kada se djelatnicima

dopušta da sa kućnog računala ažuriraju podatke, potreban je poseban pravilnik s

kojim moraju biti upoznati svi koji rade na daljinu. Mora se osigurati da udaljeno

računalo ne ugrozi sigurnost mreže ustanove, s obzirom na mogućnost da ga

koriste neautorizirane osobe, članovi obitelji i slično. Povjerljivi podaci na

udaljenom računalu moraju biti jednako sigurni kao da se računalo nalazi u zgradi

ustanove.


84

Ustanova je obavezna razraditi pravila za spajanje na mrežu gostujućih

računala, koja donose sa sobom vanjski suradnici, predavači, poslovni partneri,

serviseri. Ne smije se dozvoliti da oni po svom nahođenju priključuju računala na

mrežu ustanove, radi opasnosti od širenja virusa ili namjernih agresivnih radnji,

poput presretanja mrežnog prometa, prikupljanja informacija itd. Ustanova može

odrediti priključna mjesta, na primjer u predavaonicama, gdje je dozvoljeno

priključiti gostujuća računala, te konfiguracijom mreže spriječiti da se sa tog

segmenta mreže dopre do ostalih računala na ustanovi.

Ukoliko škola koristi bežičnu mrežu, mora osigurati da se ne može bilo tko

priključiti na privatnu mrežu i snimati promet. To se postiže metodama enkripcije i

autentifikacije uređaja i korisnika, koji se moraju propisati u zasebnom dokumentu.

Radi zaštite povjerljivih informacije pri prijenosu mrežom, poželjno je da takav

promet bude kriptiran. Ustanova će u tom slučaju izdati pravilnik u kojem definira

vrstu enkripcije, obvezan softver, procedure za dodjelu i čuvanje kriptografskih

ključeva i slično.

Instalacija i licenciranje softvera

Korištenje ilegalnog softvera predstavlja povredu autorskog prava i

intelektualnog vlasništva. Da bi se zaštitila od moralne i materijalne štete koja time

može nastati, škola zadužuje jednu ili više odgovornih osoba za instaliranje

softvera i njegovo licenciranje. Korisnik koji ima potrebu za nekim programom,

mora se obratiti ovlaštenoj osobi i zatražiti, uz obrazloženje, nabavu i instalaciju.

Sve korisnike treba obavezati na poštivanje autorskih prava, na primjer

potpisivanjem izjave o tome da upoznati s Politikom prihvatljivog korištenja i da je

prihvaćaju. Na taj način škola odgovornost za eventualno kršenje zakona

prebacuje na nesavjesnog korisnika.

Povjerenstvo za sigurnost informacijskih sustava

Kako bi se osiguralo upravljanje sigurnošću, poželjno je oformiti Povjerenstvo

za sigurnost sastavljeno od predstavnika uprave i specijalista tehničara (na primjer

voditelj sigurnosti, CARNet koordinator, prodekan, glavni korisnik baze podataka

koja sadrži povjerljive informacije itd.).


85

Povjerenstvo prima izvještaje o sigurnosnoj situaciji i predlaže mjere za njeno

poboljšanje, uključujući nabavu opreme, organizaciju obrazovanja korisnika i

specijalista. Povjerenstvo daje odobrenje za provođenje istrage u slučaju

incidenata. Povjerenstvo podnosi izvještaj o stanju sigurnosti upravi Ustanove, te

se zalaže za donošenje konkretnih mjera, nabavu potrebne opreme, ulaganje u

obrazovanje specijalista, ali i običnih korisnika.

Fizička sigurnost

Prostor na školi dijeli se na dio koji je otvoren za javnost, prostor u koji imaju

pristup samo zaposleni, te prostore u koje pristup imaju samo grupe zaposlenih,

ovisno o vrsti posla koji obavljaju.

Ustanova je dužna sastaviti popis osoba koje imaju pristup u zaštićena

područja, a porta mora imati popis osoba koje mogu dobiti ključeve određenih

prostorija.

Sigurne zone

Računalna oprema koja obavlja kritične funkcije, neophodne za funkcioniranje

informacijskog sustava, ili sadrži povjerljive informacije, fizički se odvaja u prostor

u koji je ulaz dozvoljen samo ovlaštenim osobama. Ustanova je dužna održavati

popis ovlaštenih osoba koje imaju pristup u sigurne zone.

U pravilu su to samo zaposlenici koji administriraju mrežnu i komunikacijsku

opremu i poslužitelje ključnih servisa. Oni ulaze u sigurne zone samo kada treba

ukloniti zastoje, obaviti servisiranje opreme. Stoga je poželjno je administratorima

osigurati radni prostor odvojeno od prostorija u kojima je smještena kritična

oprema.

Kritična oprema treba biti zaštićena od problema s napajanjem električnom

energijom, što znači da električne instalacije moraju biti izvedene kvalitetno, da se

koriste uređaji za neprekidno napajanje, a po potrebi i generatori električne

energije. Treba predvidjeti i druge moguće probleme, poput poplava, požara i

slično, te poduzeti mjere da se oprema i informacije zaštite i da se osigura što brži

oporavak. U sigurnim zonama i u njihovoj blizini ne smiju se držati zapaljive i

eksplozivne tvari.


86

Vanjske tvrtke

Povremeno se mora dopustiti pristup osobama iz vanjskih tvrtki ili ustanova,

radi servisiranja, održavanja, podrške, obuke, zajedničkog poslovanja, konzultacija

itd. Ustanova može u ugovore s vanjskim tvrtkama ugraditi odredbe kojima

obavezuje poslovne partnere na poštivanje sigurnosnih pravila.

Ugovorom će se regulirati pristup, čime se podrazumijeva pristup prostorijama,

pristup opremi ili logički pristup povjerljivim informacijama. Treću stranu treba

obavezati na čuvanje povjerljivih informacija s kojima dođu u dodir pri obavljanju

posla. Ustanova može zahtijevati da svaka osoba koja pristupa povjerljivoj opremi,

sigurnoj zoni ili osjetljivim informacijama potpiše Izjavu o čuvanju povjerljivih

informacija. Ako u sigurnu zonu radi potrebe posla ulaze osobe koje nemaju

ovlasti, mora im se osigurati pratnja. Strana osoba može se ostaviti da obavi

posao u zaštićenom prostoru samo ako je osiguran video nadzor.

Ukoliko se vanjskoj tvrtki prepušta održavanje opreme i aplikacija s povjerljivim

podacima, Ustanova može od vanjske tvrtke zatražiti popis osoba koje će dolaziti

u prostorije Ustanove radi obavljanja posla. U slučaju zamjene izvršitelja, vanjska

tvrtka dužna je na vrijeme obavijestiti Ustanovu.

Ustanova zadržava pravo da osobama koje se predstavljaju kao djelatnici

vanjskih tvrtki uskrati pristup ukoliko nisu na popisu ovlaštenih djelatnika.

Sigurnost opreme

Klasifikacija računalne opreme

Ustanova dijeli svu opremu u grupe prema zadaćama:

Zona javnih servisa ( tzv. demilitarizirana zona) – oprema koja obavlja javne

servise (DNS poslužitelj, HTTP poslužitelj, poslužitelj elektroničke pošte

itd.).

Intranet je privatna mreža škole, sačinjavaju je poslužitelji internih servisa,

osobna računala zaposlenih, računalne učionice te komunikacijska oprema

lokalne mreže.

Extranet je proširenje privatne mreže otvoreno mobilnim korisnicima,

poslovnim partnerima ili povezuje izdvojene lokacije. U ovu grupu spadaju


87

na primjer interni modemski ulazi ili veza lokalnih baza podataka s

centralnim poslužiteljima (LDAP,e-pernica).

Poželjno je da škola s vremenom izradi sigurnosnu politiku za svako od

navedenih područja, koje će dati konkretne upute administratorima kako zaštiti

sustav. Posebno je osjetljivo područje koje nazivamo extranet, jer se tu otvara

prolaz u zaštićenu mrežu.

Korisnicima koji su na putu, kod kuće, ili poslovnim partnerima. Potrebno je

izraditi poseban pravilnik za extranet u kojem se reguliraju prava i obaveze, a s

vanjske tvrtke kojima se dopušta pristup računalima i podacima u intranetu treba

ugovorom obavezati na poštivanje sigurnosnih pravila i čuvanje povjerljivosti

informacija.

Podjela opreme prema vlasništvu

U prostorijama škole nalazi se i oprema CARNeta ili Ministarstva znanosti i

tehnologije, koja je dana na korištenje školi.

Škola je obavezna održavati popis sve računalne opreme, s opisom ugrađenih

komponenti, inventarskim brojevima itd.

Škola brine jednako o svoj opremi kojom raspolaže, bez obzira na to tko je

njezin vlasnik. Manirom dobrog gospodara oprema se čuva od oštećivanja,

otuđenja.

Škola je dužna osoblju CARNeta dozvoliti pristup opremi u vlasništvu CARNeta

koja se nalazi na Ustanovi.

Odgovornost za računalnu opremu

Za fizičku sigurnost opreme odgovoran je rukovoditelj ustanove. On

odgovornost za grupe uređaja ili pojedine uređaje prenosi na druge zaposlene, koji

potpisuju dokument kojim potvrđuju da su preuzeli opremu.

Škola je dužna razraditi procedure kojima se nastoji spriječiti otuđenje i

oštećenje računalne opreme. Na porti treba provjeriti da li oprema koja se iznosi

ima potrebne prateće dokumente, izdatnice, radne naloge za popravak itd.


88

Osiguranje neprekidnosti poslovanja

Kako bi se sačuvali podaci u slučaju nezgoda, poput kvarova na sklopovlju,

požara, ili ljudskih grešaka, potrebno je redovito izrađivati rezervne kopije svih

vrijednih informacija, uključujući i konfiguraciju softvera. Preporučuje se izrada više

kopija, koje se čuvaju na različitim mjestima, po mogućnosti u vatrootpornim

ormarima.

Procedure za izradu rezervnih kopija treba razraditi u zasebnom dokumentu.

Potrebno je zadužiti konkretne djelatnike za izradu i čuvanje kopija informacija, te

ih obavezati na čuvanje povjerljivosti informacija.

Radi osiguranja neprekinutosti poslovanja, potrebno je razraditi i procedure za

oporavak kritičnih sustava te ih čuvati u pismenom obliku, kako bi u slučaju

zamjene izvršitelja novozaposleni djelatnici mogli brzo reagirati u slučaju

nesreće.Povremeno se provjerava upotrebljivost rezervnih kopija podataka, te

izvode vježbe oporavka sustava. Vježbe se ne izvode na produkcijskim

računalima, već na rezervnoj opremi, u laboratorijskim uvjetima.

Nadzor nad informacijskim sustavima

Ustanova zadržava pravo nadzora nad instaliranim softverom i podacima koji su

pohranjeni na umreženim računalima, te nad načinom korištenja računala.

Nadzor se smije provoditi radi:

Osiguranja integriteta, povjerljivosti i dostupnosti informacija i resursa.

Provođenja istrage u slučaju sumnje da se dogodio sigurnosni incident.

Provjere da li su informacijski sustavi i njihovo korištenje usklađeni sa

zahtjevima sigurnosne politike.

Nadzor smiju obavljati samo osobe koje je ustanova za to ovlastila.

Pri provođenju nadzora ovlaštene osobe dužne su poštivati privatnost i

osobnost korisnika i njihovih podataka. No u slučaju da je korisnik prekršio pravila

sigurnosne politike, ne može se više osigurati povjerljivost informacija otkrivenih u

istrazi, te se one mogu koristiti u stegovnom ili sudskom postupku.


89

Doseg

Ova se pravila odnose na svu računalnu opremu koja se nalazi u prostorijama

škole i priključena je u mrežu CARNet, na sav instalirani softver, te na sve mrežne

servise. Pravila su dužni poštivati i provoditi svi zaposleni, učenici i vanjski

suradnici koji po ugovoru obavljaju određene poslove.

Provođenje

Korisnici su dužni pomoći osobama zaduženim za nadzor informacijskih

sustava, na taj način što će im pružiti sve potrebne informacije i omogućiti im

pristup prostorijama i opremi radi provođenja nadzora. Isto vrijedi i za

administratore računala i pojedinih servisa, koji su dužni specijalistima za

sigurnost pomagati pri istrazi.

Pristup uključuje:

Pristup na razini korisnika ili sustava svoj računalnoj opremi

Pristup svakoj informaciji, u elektroničkom ili tiskanom obliku, koja je

proizvedena ili spremljena na opremi škole ili oprema škole služi za njezin

prijenos.

Pristup radnom prostoru (uredu, laboratoriju, sigurnoj zoni itd.)

Pravo na interaktivno nadgledanje i bilježenje prometa na mreži škole

Nepridržavanje

Zaposlenika koji se ogluši na pravila o nadzoru može se disciplinski kazniti ili

mu uskratiti prava korištenja CARNetove mreže i njezinih servisa.

Prateći dokumenti

S razvojem informatike na školi i porastom ovisnosti o njezinom ispravnom

funkcioniranju, javiti će se potreba da se generička sigurnosna politika dopuni

pratećim dokumentima, u kojima se definiraju pravila za pojedina područja rada.

Dok bi generička politika trebala biti dovoljno općenita kako se ne bi morala često

mijenjati, prateći pravilnici pisani su kao upute za rješavanje konkretnih problema i

mogu se češće mijenjati.


90

2) Pravilnik o upravljanju povjerljivim informacijama

Klasifikacija informacija

Klasificiranje povjerljivih informacija uređeno je Zakonom o zaštiti tajnosti

podataka objavljenim u Narodnim novinama br. 114/01. Prema vrsti tajnosti

informacije dijele se na vojnu, državnu, službenu, poslovnu i profesionalnu tajnu.

Prema stupnju tajnosti, informacije mogu biti javne, povjerljive, tajne ili vrlo

tajne.

Kategorije službene, državne i vojne tajne pripadaju tijelima državne uprave.

Poslovna tajna su informacije koje imaju komercijalnu vrijednost i čije bi

otkrivanje moglo nanijeti štetne posljedice školi ili njenim poslovnim partnerima

(ugovori, financijski izvještaji, planovi, rezultati istraživanja itd.)

Profesionalna tajna odnosi na zanimanja poput liječnika, svećenika i odvjetnika,

no može se primijeniti i na zaposlene koji u svom radu dolaze u dodir s podacima

o drugim ljudima, poput zaposlenih u referadi, osoba koje unose podatke u baze

podataka o studentima,učenicima ili sistem administratora poslužitelja koji u

nekim situacijama može doći u dodir s podacima koji pripadaju korisnicima

računala.

Dokumenti koji izvana dolaze u školu s nekom od oznaka povjerljivosti određuju

stupanj povjerljivosti svih dokumenata i informacija koje će škola proizvesti kao

odgovor. U tom slučaju može se koristiti neka od kategorija tajnosti koje su

rezervirane za tijela državne uprave (službena, državna ili vojna tajna).

Dokumenti koji se smatraju povjerljivima moraju biti jasno označeni isticanjem

vrste i stupnja tajnosti.

Javnima se smatraju sve informacije koje nisu označene kao povjerljive.

Izuzetak su osobne informacije, za koje se podrazumijeva da su povjerljive i ne

treba ih posebno označavati.

Pravila za čuvanje povjerljivosti odnose se na informacije bez obzira na to u

kom su obliku: na papiru, u elektroničkom obliku, zabilježene ili usmeno

prenesene, ili su objekti poput maketa, slika itd.


91

Raspodjela odgovornosti

Za klasificiranje povjerljivih informacija zadužen je ravnatelj škole, koji će izraditi

listu osoba koje imaju pravo proglasiti podatke tajnima, te listu osoba koje imaju

pristup povjerljivim podacima.

Pravila za čuvanje povjerljivih informacija odnose se na sve zaposlenike škole i

vanjske suradnike koji dolaze u doticaj sa osjetljivim podacima. Obaveza čuvanja

povjerljivosti ne prestaje s prestankom radnog odnosa.

Čuvanje povjerljivih informacija

Povjerljive informacije, tiskane na papiru ili u elektroničkom obliku, snimljene na

neki medij za pohranu podataka, čuvaju se u zaključanim metalnim, vatrootpornim

ormarima, u prostorijama u koje je ograničen pristup.

Pristup povjerljivim informacijama regulira se izradom liste zaposlenika koji

imaju ovlasti, te bilježenjem vremena izdavanja i vraćanja dokumenata, kako bi se

u svakom trenutku znalo gdje se oni nalaze.

Informacije o zaposlenicima

Socijalni inženjering je metoda koju primjenjuju hackeri kako bi prikupili

informacije potrebne za provalu na računala. Ustanova može informacije o

zaposlenima koje se smatraju javnima objaviti na svojim web stranicama. Javnim

informacijama smatraju se:

Ime i Prezime

Posao koji zaposlenik obavlja

Broj telefona na poslu

Službena e-mail adresa

Na upite o zaposlenicima davati će se samo informacije objavljene na internim

web stranicama. Daljnje informacije o zaposlenima ne smiju se davati bez

suglasnosti osobe kojoj podaci pripadaju (na pr. adresa stana, broj privatnog

telefona, podaci o primanjima, porezu, osiguranju itd.)

Povjerljive informacije u načelu se ne daju se telefonom jer se sugovornik može

lažno predstaviti. Ukoliko se sugovornik predstavlja kao službena osoba koja ima

pravo pristupa povjerljivim podacima, zapisuje se ime i prezime te osobe, naziv


92

institucije kojoj pripada i broj telefona s kojeg zove. Nakon provjere istinitosti tih

podataka zaposlenik škole će se posavjetovati s ravnateljom i ukoliko dobije

odobrenje nazvati službenu osobu i odgovoriti na pitanja.

Prenošenje povjerljivih informacija

Informacije koje su klasificirane kao povjerljive zahtijevaju posebne procedure

pri slanju i prenošenju. Povjerljive informacije ne šalju se običnom poštom, već

kurirskom. Na odredištu se predaju u ruke osobi kojoj su upućeni, što se potvrđuje

potpisom.

Ako se povjerljive informacije šalju elektronički, na primjer kao poruke

elektroničke pošte, tada se moraju slati kriptirane.

Kopiranje povjerljivih informacija

Za kopiranje povjerljivih informacija treba zatražiti dozvolu vlasnika informacije.

Povjerljivi dokumenti koji izvana dođu u školu ne smiju se kopirati bez izričite

dozvole pošiljatelja.

Dokumenti koji pripadaju školi smiju se kopirati samo uz dozvolu osobe koja ih

je proglasila povjerljivim, odnosno uprave. Kopija se numerira i o njenom izdavanju

vodi se evidencija kao i za original s kojeg je proizvedena.

Osoblje koje poslužuje uređaje za kopiranje treba obučiti i obavezati da odbiju

kopiranje povjerljivih dokumenata ukoliko nije ispoštovana propisana procedura.

Uništavanje povjerljivih informacija

Mediji koji sadrže povjerljive informacije ne bacaju se, već se uništavaju

metodom koja osigurava da se trajno i pouzdano uništi sadržaj (spaljivanjem,

usitnjavanjem, prešanjem).

Ukoliko se zastarjela i rashodovana računalna oprema daje na korištenje trećoj

strani, obavezno je uništavanje podataka sa diskova posebnim programom koji

nepovratno prebriše sadržaj diska.

Nepridržavanje

Zaposlenici i suradnici koji dolaze u dodir s klasificiranim informacijama

potpisuju izjavu o čuvanju povjerljivosti informacija. Protiv zaposlenika koji ne

poštuju pravila o čuvanju povjerljivih informacija bit će pokrenut stegovni postupa,


93

a može ih premjestiti na drugo radno mjesto na kojem neće dolaziti u dodir s

povjerljivim podacima.

S vanjskim suradnicima za koje se ustanovi da otkrivaju povjerljive informacije

razvrgnuti će se ugovor. Stoga ustanova treba već u ugovor unijeti stavke po

kojima je povreda povjerljivosti podataka dovoljan razlog za prekid ugovora.

3) Opis postupka kreiranja ISMS dokumentacije

Unutar NKG-a postoje 3 razine odlučivanja: administrator, Matematičko,

informatičko, astronomski aktiv (MIA aktiv), ravnatelj

Matematičko, informatičko, astronomski aktiv (MIA aktiv) je odgovorno za:

poticaj, prihvaćanje poticaja i potporu procesu dokumentiranja

sigurnosnih mjera

pribavljanje odobrenja i odluka o primjeni sigurnosnih dokumenata

osiguravanje suradnje tvrtki izvan škole čija je ekspertiza nužna za

kreiranje određenih vrsta dokumenata

odobrenja, procjene, odluke, usmjerenja i sl. nužne za kreiranje,

implementaciju i operativu dokumenata iz svoje poslovne nadležnosti.

Administrator i ostalo informatičko osoblje je obvezno i odgovorno za:

kreiranje prijedloga sigurnosnih dokumenata

iniciranje kreiranja nedostajućih dokumenata ili korekcije postojećih

implementaciju i operativu odobrenih dokumenata

praćenje usuglašenosti prakse i dokumentacije.

Ravnatelj kao odgovorna osoba u školi je odgovoran

za donošenje svih nužnih sigurnosnih dokumenata relevantnih za sustav.

4) Pravilnik o antivirusnoj zaštiti

Virusi i crvi predstavljaju opasnost za informacijske sustave, ugrožavajući

funkcioniranje mreže i povjerljivost podataka. Nove generacije virusa su izuzetno

složene i opasne, sposobne da prikriju svoju prisutnost, presreću unos podataka


94

na tipkovnici. Informacije poput zaporki ili povjerljivih dokumenata mogu slati

svome tvorcu nekamo na Internet, te otvoriti kriptiran kanal do vašeg računala,

kako bi hackeri preuzeli kontrolu nad njim. Stoga zaštita od virusa ne smije više

biti stvar osobnog izbora, već obaveza ustanove, administratora računala i svakog

korisnika.

Škola propisuje da je zaštita od virusa obavezna i da se provodi na nekoliko

razina:

Na poslužiteljima elektroničke pošte

Na internim poslužiteljima, gdje se stavlja centralna instalacija

Na svakom uredskom računalu korisnika

Administratori su dužni instalirati protuvirusne programe na sva korisnička

računala i konfigurirati ih tako da se izmjene u bazi virusa i u konfiguraciji

automatski propagiraju sa centralne instalacije na korisnička računala u lokalnoj

mreži, bez aktivnog sudjelovanja korisnika. Korisnici ne smiju samovoljno isključiti

protuvirusnu zaštitu na svome računalu. Ukoliko iz nekog razloga moraju

privremeno zaustaviti protuvirusni program, korisnici moraju obavijestiti sistem

inženjera.

Nepridržavanje

Korisnik koji samovoljno isključi protuvirusnu zaštitu na svom računalu, te na taj

način izazove štetu, bit će stegovno kažnjen.

5) Pravilnik o korištenju elektroničke pošte

Elektronička pošta dio je svakodnevne komunikacije, poslovne i privatne.

Komuniciranje e-poštom na školi se zahtijeva razmatranje svih aspektia

elektroničke komunikacije s obzirom na moguće posljedice.

Protokol koji se koristi za prijenos elektroničke pošte, SMTP ili Simple Mail

Transport Protocol, nije od samog početka dizajniran da bude siguran. Dodatne

probleme ponekad izazivaju i korisnici, koji nisu posve svjesni zamki pri korištenju

e-pošte. Stoga je potrebno odrediti moguće probleme koji mogu nastati pri

korištenju elektroničke pošte.


95

A. Nesigurnost protokola

Poruke putuju kao običan tekst, otvorene kao na razglednici, te ih je lako

presresti i pročitati, ili čak izmijeniti sadržaj.

Lako je krivotvoriti adresu pošiljatelja, tako da nikada nismo sigurni tko je

zapravo poslao poruku.

Protokoli za čitanje elektroničke pošte, POP i IMAP, u svom osnovnom

obliku šalju korisničko ime i zaporku kao običan tekst, pa ih je moguće

presresti i pročitati. Stoga je potrebno, kad god je to moguće, koristiti

kriptografiju, na primjer SSL za prijenos i PGP za skrivanje sadržaja.

B. Nezgode

Uvijek je moguće pritisnuti pogrešnu tipku ili kliknuti mišem na susjednu

ikonu. Time može nastati nepopravljiva šteta – ne može se

zaustaviti poruku koja je već otišla. Ako se umjesto Reply pritisne Reply

All, poruka će umjesto jednom primatelju otići na više adresa, a

povjerljive informacije dospjeti do neželjenih primatelja.

Česta je pogreška i odabir pogrešne adrese iz adresara.

Neki mail klijenti sami dovršavaju e-mail adresu koja se unosi. U žurbi se

može prihvatiti pogrešna adresa, slična onoj koja se zapravo želi.

C. Nesporazumi

Ljudi su skloni pisati e-mail poruke na ležerniji, opušteniji način. To može

dovesti do nesporazuma ako druga strana ne shvaća poruku na isti

način. Stoga službeni dopisi se pišu u službenom tonu.

Iza imena u e-mail adresi nalazi se ime škole. Pišući, treba biti svjestan

da netko može shvatiti privatnu prepisku kao službeni dopis, privatno

mišljenje kao službeni stav škole. Stoga u raspravi uvijek jasno treba

naznačiti kada je izneseni stav privatno uvjerenje.

D. Otkrivanje informacija

Poruke namijenjene jednoj osobi, začas se mogu proslijediti drugima, na

primjer na mailing listu. To se može dogoditi (zlo)namjerno, s ciljem da

se naškodi drugoj osobi ili tvrtki nemarom sudionika, koji ne traži dozvolu


96

za prosljeđivanje poruke slučajnom omaškom, na primjer nehotičnim

klikom mišem na pogrešnu ikonu (Reply All umjesto Reply).

Stoga poslovni dopise koji sadrže osjetljive informacije treba označiti kao

povjerljive, kako bismo primatelja obavezali na diskreciju.

U slučaju sigurnosnog incidenta, istraga može dovesti do otkrivanja

sadržaja poruka koje su zamišljene kao privatna komunikacija. Škola se

obavezuje čuvati povjerljivost takvih poruka, ali to ne može garantirati

ako poruke budu tretirane kao dokazni materijal u istrazi ili u mogućem

sudskom procesu.

E. Radna etika

Velika količina poruka koje treba svakodnevno pročitati može oduzeti

znatan dio radnog vremena. Stoga je potrebno ograničiti broj privatnih i

zabavnih poruka.

Lančane poruke koje ljudi šalju poznanicima mogu sadržavati lažne

informacije ili biti dio prijevare, s namjerom da se ljudima izvuče novac

("pomozite nesretniku kojem treba operacija", "otvorite račun kako bi

svrgnuti diktator mogao izvući novac iz nestabilne afričke države"...). Za

provjeru ovakvih poruka (engl. hoax) može se koristiti servis CARNet

CERT-a "Hoax recognizer".

Slanje neželjenih komercijalnih poruka, (eng. Spam) sve više opterećuje

promet na Internetu, te oduzima vrijeme, čak i u slučaju da se takve

poruka brišu bez čitanja. Škola će filtirati spam na poslužitelju

elektroničke pošte, ali je obaveza korisnika da sami ne šalju takve

poruke.

F. Povreda autorskih prava

Svaka poruka elektroničke pošte može se smatrati autorskim djelom,

stoga ona pripada osobi koja ju je poslala. Stoga za prosljeđivanje tuđe

poruke treba tražiti dozvolu njezina autora.

Prilozi koji se šalju uz elektroničke poruke mogu sadržavati autorski

zaštićene informacije, na primjer glazbu, filmove, članke itd. Primajući i

šaljući takve sadržaje korisnik izlaže sebe mogućoj tužbi ali i školu.


97

Zbog svega nabrojanog korištenje elektroničke pošte smatra se rizičnom

djelatnošću, te se korisnici obavezuju na pridržavanje određenih pravila:

Svim korisnicima (profesori, učenici, administrativno osoblje) se otvara

korisnički račun radi obavljanja posla.

Privatne poruke dozvoljene su u umjerenoj količini, ukoliko to ne ometa rad.

Za privatne potrebe mogu se koristiti za to namijenjene HR-F domene.

Pišući poruke, treba biti svjestan da se ne predstavlja samo sebe, već i

školu.

Pridržavajte se netikete (ftp://ftp.rfc-editor.org/in-notes/rfc1855.txt), pravila

pristojnog ponašanja na Internetu, službena e-mail adresa se ne koristiti za

slanje uvredljivih, omalovažavajućih poruka, ili za seksualno uznemiravanje.

Nije dozvoljeno slanje lančanih poruka kojima se opterećuju mrežni resursi i

ljudima oduzima radno vrijeme.

Svaka napisana poruka smatra se dokumentom, te na taj način podliježe

propisima o autorskom pravu i intelektualnom vlasništvu. Nemate pravo

poruke koju su poslane vama osobno proslijediti dalje bez dozvole autora,

odnosno pošiljatelja.

Sve poruke pregledati će automatski aplikacija koja otkriva viruse. Ako

poruka zadrži virus, neće biti isporučena, a pošiljatelj i primatelj će biti o

tome obaviješteni. Poruka će provesti određeno vrijeme u karanteni, odakle

ju je moguće na zahtjev primatelja izvući. Nakon određenog vremena,

obično mjesec dana, poruka se briše iz karantene kako bi se oslobodio

prostor na disku.

Škola zadržava pravo filtriranja poruka s namjerom da se zaustavi spam.

U slučaju istrage uzrokovane mogućim sigurnosnim incidentom, sigurnosni

tim može pregledavati kompletan sadržaj diska, pa time i poruke e-pošte.

Poruke koje su dio poslovnog procesa treba arhivirati i čuvati propisani

vremensko razdoblje kao i dokumente na papiru.


98

Procedura za dodjelu e-mail adrese

Pri zapošljavanju novog djelatnika administratora poslužitelja elektroničke pošte

je dužan u roku od sedam dana otvoriti korisnički račun.

Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam

dana zatražiti zatvaranje korisničkog računa.

Učenici imaju pravo besplatnog korištenja e-pošte za vrijeme trajanja

školovanja. Nakon odlaska iz škole njihov korisnički račun i dalje je aktivan, sve

dok to sam bivši učenik ne zatraži ili izgubi pravo korištenja.

Na koga se odnose pravila korištenja e-pošte?

Pravila za korištenje e-pošte odnose se na sve zaposlene, vanjske suradnike, i

učenike koji imaju otvoren korisnički račun na poslužitelju Ustanove.

Nepridržavanje

Protiv korisnika koji ne poštuju ova pravila škola može pokrenuti stegovni

postupak. U slučaju ponovljenih težih prekršaja, korisniku se može zatvoriti

korisnički račun i uskratiti pravo korištenja usluge elektroničke pošte.

6) Pravilnik o korištenju školskog foruma

Komuniciranje putem školskog foruma na školi zahtijeva da se razmotre svi

aspekti elektroničke komunikacije s obzirom na moguće posljedice za korisnike ili

školu, jer je forum javni servis.

Procedura za dodjelu korisničkog računa za školski forum

Pri zapošljavanju novog djelatnika administratora poslužitelja školskog foruma

je dužan u roku od sedam dana otvoriti korisnički račun.

Pri prestanku radnog odnosa, ravnatelj je dužan najkasnije u roku od sedam

dana zatražiti zatvaranje korisničkog računa.

Svaki učenik upisom u školu stječe pravo da mu se otvori korisnički račun.

Pravila:

Prije nego što se pomisli otvoriti novu temu treba pogledati po forumu

postoji li već neka slična.


99

Naslov tema treba napisati što podrobnije tako da se iz sadržaja (eng.

subjecta) teme može vidjeti o čemu se ovdje radi.

Linkovi i privici (eng.attachment) na virus i stranice nepočudnog sadržaja

strogo su zabranjeni.

Reklamiranje se dozvoljava samo u potpisu. Svaki post koji ima bilo kakav

sjedinjeni (enf. affiliate) link smatra se reklamom i bit će obrisan.

Reklamiranje putem osobnih poruka (PM-ova) *nije dozvoljeno*. Moderator

i administratori zadržavaju pravo da i neke druge postove ocijene

reklamama.

Treba poštovati sve članove foruma i ne vrijeđati ih. To uključuje širenje

lažnih informacija, izravno vrijeđanje drugih korisnika, korištenje nekulturnih

izraza i riječi ili nekih drugih oblika neetičkog ponašanja .

Ako se želi postaviti pitanje potrebno ga je smjestiti u pravom području

foruma i to SAMO JEDANPUT. Nužno je pročitati opise svakog foruma.

Svaki korisnik ima pravo na jedan korisnički račun. Korištenje više različitih

korisničkih računa nije dozvoljeno.

Davanje svojih korisničkih podataka drugoj osobi nije dozvoljeno i rezultirati

će brisanjem korisničkog računa.

Korištenje uvredljivih avatara (sličica koje predstavljaju članova) i potpisa

(eng. signaturea) nije dozvoljeno. Moderator zadržava pravo odrediti što je

prikladno, a što ne.

Suzdržavanje od odgovora koji se ne tiču teme (tzv. "offtopic" odgovora).

Uz ova OPĆA PRAVILA PONAŠANJA vrijede i dodatna pravila korištenja

pojedinih podforuma.

Kreiranjem korisničkog računa prihvaćaju se sva pravila ovoga foruma.

Prilikom registracije obavezno napisati ispravnu školsku adresu e-pošte (za

druge oblike registriranja potrebna je posebna dozvola administratora

foruma) i ostale podatke koji su obavezni.


100

Na koga se odnose pravila korištenja školskog foruma?

Pravila za korištenje školskog foruma odnose se na sve zaposlene, vanjske

suradnike, vanjske članove foruma, i učenike koji imaju otvoren korisnički račun na

poslužitelju škole.

Nepridržavanje

Korisnici koji se ne pridržavaju pravila školskog foruma prestaju biti anonimni te

škola protiv istih može pokrenuti stegovni postupak. U slučaju ponovljenih težih

prekršaja, korisniku se može zatvoriti korisnički račun i uskratiti pravo korištenja

usluge školskog foruma.

7) Pravilnik o rješavanju sigurnosnih incidenata

Svrha je ovog dokumenta da ustanovi obavezu prijavljivanja sigurnosnih

incidenata, te da razradi procedure za provođenje istrage.

Procedura prijave incidenta

Svaki zaposlenik, student, učenik ili suradnik škole dužan je prijavljivati

sigurnosne incidente, poput usporenog rada servisa, nemogućnosti pristupa,

gubitka ili neovlaštene izmjene podataka, pojave virusa itd.

Škola treba izraditi i održavati kontakt listu osoba kojima se prijavljuju problemi

u radu računala i servisa, te obrazac za prijavu incidenta. Kontakt listu treba

podijeliti svim zaposlenima i objaviti je na internim web stranicama škole.

Svaki incident se dokumentira. Uz obrazac za prijavu incidenta, dokumentacija

sadrži i obrazac s opisom incidenta i poduzetih mjera pri rješavanju problema.

Izvještaji o incidentima smatraju se povjerljivim dokumentima, spremaju se na

sigurno mjesto i čuvaju 10 godina, kako bi mogli poslužiti za statističke obrade

kojima je cilj ustanoviti najčešće propuste radi njihova sprečavanja, ali isto tako i

kao dokazni materijal u eventualnim stegovnim ili sudskim procesima.

Ozbiljniji incidenti prijavljuju se CARNet-ovom CERT-u, preko obrasca na web

stranici www.cert.hr

Procedure za rješavanje incidenata

Administratori smiju pratiti korisničke procese. Ako sumnjaju da se računalo

koristi na nedozvoljen način, mogu izraditi listu sadržaja korisničkog direktorija, ali

www.cert.hr


101

ne smiju provjeravati sadržaj korisničkih podatkovnih datoteka (na pr. dokumenata

ili e-mail poruka).

Daljnju istraga može se provesti samo ako je prijavljena Povjerenstvu za

sigurnost koje je uspostavljeno sigurnosnom politikom ustanove, uz poštivanje

slijedećih pravila:

Istragu provodi jedna osoba, ali uz nazočnost svjedoka kako bi se

omogućilo svjedočenje o poduzetim radnjama.

Prvo pravilo forenzičke istrage jest da se informacijski sustav sačuva u

zatečenom stanju, odnosno da se ne učine izmjene koje bi otežale ili

onemogućile dijagnosticiranje

Najprije se izrađuje kopija zatečenog stanja (na pr. na traku, CD...), po

mogućnosti na takav način da se ne izmijene atributi datoteka.

Dokumentira se svaka radnja, tako da se ponavljanjem zabilježenih akcija

može rekonstruirati tijek istrage.

O istrazi se izrađuje izvještaj, kako bi u slučaju potrebe mogli poslužili kao

dokaz u eventualnim stegovnim ili sudskim procesima.

Izvještaji o incidentu smatraju se povjerljivim dokumentima i čuvaju se na

taj način da im pristup imaju samo ovlaštene osobe.

Škola može objavljivati statističke podatke o sigurnosnim incidentima, bez

otkrivanja povjerljivih i osobnih informacija.

Procedure za Sankcije

Svrha je istrage da se odredi uzrok nastanka problema, te da se iz toga izvuku

zaključci o tome kako spriječiti ponavljanje incidenta, ili se barem bolje pripremiti

za slične situacije. Ako je uzrok sigurnosnom incidentu bio ljudski faktor, protiv

odgovornih se mogu poduzeti sankcije.

Škola može osobama odgovornim za sigurnosni incident zabraniti fizički pristup

prostorijama ili logički pristup podacima.

Ukoliko je incident izazvao zaposlenik vanjske tvrtke, škola može zatražiti od

vanjske tvrtke da ga se ukloni sa liste osoba ovlaštenih za obavljanje posla na


102

školi. U slučaju teže povrede pravila sigurnosne politike, škola može raskinuti

ugovor s vanjskom tvrtkom.

8) Pravilnik o rukovanju zaporkama

Prosječan korisnik nerijetko smatra kako ne mora brinuti o sigurnosti jer njegovo

računalo ne sadrži vrijedne informacije. No kompromitiranjem jednog osobnog

računala u lokalnoj mreži ili jednog korisničkog računa na poslužitelju napadač je

probio obrambenu liniju i otvorio prolaz za napade na važnije sustave i informacije.

Lanac puca na najslabijoj karici. Stoga je svaki korisnik dužan izborom zaporke i

njezinom povremenom promjenom doprinositi zaštiti ukupnog sustava.

Dok snaga računala neprestano raste, ljudske sposobnosti stagniraju. Današnja

računala mogu brzo dekriptirati jednostavne zaporke, dok u isto vrijeme većina

ljudi ne može pamtiti složene zaporke dugačke i po osam znakova.

Doseg

Svi zaposlenici škole, suradnici i učenici koji u svome radu koriste računala

dužni su pridržavati se ovih pravila korištenja zaporki, dok su ih administratori

dužni tehnički ugraditi u sve sustave koji to omogućavaju.

Pravila za korištenje zaporki

Minimalna dužina zaporke

Kratku zaporku lakše je probiti. Stoga se određuje da minimalna dužina

zaporke bude šest znakova, ali preporuča se korištenje dužih zaporki.

Ne koristiti riječi iz rječnika

Hackeri posjeduju zbirke rječnika, što im olakšava probijanje ovakvih

zaporki (tzv. dictionary attack).

Izmiješati mala i velika slova s brojevima

Na primjer: h0bo3niCa. Na prvi pogled besmislena i teška za pamćenje,

ova je zaporka izvedena iz riječi hobotnica. Polazište je pojam koji lako

pamtimo, ali onda po nekom algoritmu vršimo zamjenu znakova.

Ne koristiti imena bliskih osoba, ljubimaca, datume

Takve se zaporke lako otkriju socijalnim inženjeringom.


103

Trajanje zaporke

Promjena zaporke smanjuje vjerojatnost njezina otkrivanja. Neki korisnici

naizmjence koriste dvije standardne zaporke. Iako su dvije zaporke bolje

nego jedna, ipak se ovakvim trikovima izigrava osnovna svrha promjene

zaporki.

Tajnost zaporke

Korisnici su odgovorni za svoju zaporku i ni u kom je slučaju ne smiju otkriti,

čak ni administratorima sustava. Hakeri nastoje izmamiti zaporke lažno se

predstavljajući kao administratori. Pravi administratori imaju mogućnost

rješavanja probleme i bez poznavanja korisničkih zaporki.

Čuvanje zaporke

Zaporke se ne ostavljaju na papirićima koji su zalijepljeni na ekran ili

ostavljeni na stolovima, u nezaključanim ladicama itd. Korisnik je odgovoran

za tajnost svoje zaporke, te mora naći način da je sakrije. Ukoliko korisnik

zaboravi zaporku, administrator će mu omogućiti da unese novu.

Administriranje zaporki

Na računalima koja spadaju u zonu visokog rizika administratori su dužni

konfigurirati sustav na taj način da se korisnički račun zaključa nakon tri

neuspjela pokušaja prijave.

Administratori su dužni konfigurirati autentifikaciju tako da zaporke zastare

nakon 90 dana, te onemogućiti korištenje zaporki koje su već potrošene, ako

sustav to dozvoljava.

Prilikom provjere sustava sigurnosni tim može ispitati da li su korisničke

zaporke u skladu s navedenim pravilima.

Nepridržavanje

Korisnici koji se ne pridržavaju navedenih pravila ugrožavaju sigurnost

informacijskog sustava. Škola je obavezna odgojno djelovati i obrazovati korisnike

u kreiranju sigurnih zaporki.

U slučaju ponovljenog ignoriranja ovih pravila škola može stegovno djelovati ili

postaviti zaposlenika na radno mjesto na kojem je manja mogućnost ugrožavanja

integriteta i sigurnosti sustava i podataka.


104

9) Pravilnik o zaštiti od spama

Internetom putuje sve više neželjenih komercijalnih poruka, tzv. spam. Masovne

poruke elektroničke pošte najjeftiniji su način reklamiranja. Cijenu plaćaju korisnici

i tvrtke, jer čitanje i brisanje neželjenih poruka troši radno vrijeme i umanjuje

produktivnost. Dio neželjenih poruka nastoji uvući primatelja u kriminalne

aktivnosti, na primjer otvaranje računa za pranje novca, ili su prijevara, nastoje

pobuditi samilost kako bi se izvukao novac (enlg. hoax). Za prepoznavanje

ovakvih poruka korisnici mogu koristiti uslugu CARNet CERT-a Hoax recognizer.

Pravila za administratore

Administratori poslužitelja elektroničke pošte dužni su konfigurirati računala na

taj način da se što više neželjenih poruka zaustavi.

Prva mogućnost jest da se definira ulazni filtar koji će prilikom primanja poruke

konzultirati baze podataka koje sadrže popise poslužitelja koji su otvoreni za

odašiljanje (eng. open relay), te baza s adresama poznatih spamera. Pošta koja

dolazi s tako pronađenih adresa neće se primati.

Druga razina zaštite je automatska provjera sadržaja. Poslužitelj može poruke

koje su obilježene kao spam spremati na određeno vrijeme u karantenu.

Treću razinu zaštite određuju sami korisnici. Poruke dobivaju bodove koji

ukazuju na vjerojatnost da se radi o spamu. Kako nije uvijek moguće pouzdano

definirati što je spam, ovakva zaštita mora biti uvjetna, odnosno krajnjem korisniku

se prepušta uključivanje bodovanja i konfiguriranje preusmjeravanja označenih

poruka. Informatičar zadužen za sigurnost će obučavati korisnike i pomagati im pri

kreiranju filtara za obilježavanje, odvajanje ili uništavanje neželjenih poruka.

Pravila za korisnike

Korisnici ne smiju slati masovne poruke, bez obzira na njihov sadržaj.

Upozorenja na viruse su često lažna i šire zablude. Korisnici ne smiju radi

stjecanja dobiti odašiljati propagandne poruke koristeći računalnu opremu koja

pripada ustanovi.

Nepridržavanje

Protiv korisnika koji se oglušuju o pravila prihvatljivog korištenja i šalju masovne

neželjene poruke biti će pokrenut stegovni postupak.

Dodatak B: Inventura imovine NKG-a

105

Dodatak B: Inventura imovine NKG-aOrganizacija gdje se planira uvođenje ISMS-a je Nadbiskupska klasična

gimnazija sa sjedištem u Voćarskoj cesti 106.

Područje uvođenja ISMS-a je cijela škola, dok granicama ISMS-a se smatraju

svi procesi na području djelatnosti ove škole i njihova imovina, te dokumenti i

informacije izašle iz tih procesa. Sama granica se određuje uz postupak inventure

imovine i definiranja usluga i procesa preko intervjua.

Pod ISMS imovinom smatra se sva programska i sklopovska podrška, osoblje

unutar škole (profesori, učenici, uredsko osoblje), sve dostupne usluge i procesi,

kao i nastali dokumenti ili

bilo kakva ostala

informacija. (vidi slika 8)

Slika 8 Imovina ISMS-a

Ukoliko ne postoji popis, lista imovine, potrebno ju je preko postupka inventure

izraditi. Postupak inventure je potrebno minimalno jednom godišnje provoditi i

provjeravati točnost prikupljenih podataka.

U inventuru je dakako uključena samo „informatička imovina“ i vrši ju osoblje u

informatičkom timu. Ostala imovina potpada pod provođenje opće inventure za

koju je zadužen domar škole.

Lista „informatičke imovine“ se potvrđuje od strane ravnatelja ustanove.

Radne akcije vezana uz inventuru:

Popisuje se sve osoblje

Popisuju se sva programska podrška

Popisuju se svi procesi i dokumenti

Popisuju se sve dostupne usluge

Informacija

Osoblje

Lokacija


106

Popisuje sve sklopovlje koje se ne može preko programske podrške

detektirati

Provjerava se sklopovlje koje je detektirano od strane programske podrške

Uz svaku stavku se vežu datumi inventure, datumi početka primjene u radu.

Postavljaju se naljepnice sa barkod evidencijskim brojem (sklopovlje), vrši se

procjena vrijednosti, kao i detekcija problema (kvarovi, ugroze, itd.)

Uspostava programske podrške

Zbog što lakšeg detektiranja sklopovlja (naročito računala), ali i kasnijeg

nadzora i upravljanja i gledajući na ostale potrebe ISMS-a određena je upotreba

Web orijentiranih aplikacija pod GPL licencom.

U upotrebi su dvije aplikacije GLPI (www.glpi-project.org) za unos sve

„informatičke imovine“, praćenje rada, prijave sigurnosnih incidenata) i OCS

inventory NG (www.ocsinventory-ng.org) za detekciju uređaja u računalnoj mreži

kao i dodatak (eng. plugin) za povezivanje tih aplikacija. (vidi sliku 9)

Slika 9 - GLPI Baza podataka

Radne akcije za instaliranje i rad tih aplikacija su na engleskom jeziku i nalaze

se u sklopu tih web stranica. One se neće za sada prevoditi na hrvatski jezik.

Za OCS inventory NG -

http://prdownloads.sourceforge.net/ocsinventory/OCS_Inventory_NGInstallation

_and_Administration_Guide_1.9_EN.pdf.zip?download

www.glpi-project.org

www.ocsinventory-ng.org

http://prdownloads.sourceforge.net/ocsinventory/OCS_Inventory_NGInstallation


107

Za GLPI –

http://www.glpi-project.org/spip.php?article61

1) Popis imovine NKG-a

Lista osoblja u koju se ubrajaju nastavnici, uredsko-administrativno osoblje

(uključujući i održavanje), učenici, zbog svoje veličine i sigurnosti nabrajanje imena

za potrebe ovog rada nije nužno potrebno. Za istaknuti je da profesora ima 52,

učenika ovisno o godini između 380-440, ostalog osoblja 14.

Licenciranje većine programa, (eng. software) je osigurano od strane

Ministarstva znanosti obrazovanja i športa.

Lista programske podrške:

2x MS Windows Server 2003

16x MS Windows XP Embedded (projekt e-učionice)

20x MS Windows XP Professional

3x Linux Debian distribucija (verzija 4.0)

22x MS Office 2003

Symantec Antivirus Corporate Edition 10 (poslužitelj i klijenti)

4x Nero Burning ROM

Ostali programi su najčešće uslužni pod freeware ili shareware licencama ,

poput Adobe Reader, php editora itd. Upotpunjenu listu dozvoljenih aplikacija

Administrator je dužan stalno ažurirati listu aplikacija i pratiti nadogradnje

aplikacija radi sprečavanja potencijalnih mogućih ugroza.

Sklopovska podrška - veći dio sklopovlja (računala) se detektirao preko OCS

Inventory NG, tj. sam program ima agente za Linux, Windows, Unix, Mac OS.

Naravno ostali dio sklopovlja kao što su projektori, pisači, fotokopirni uređaji, faks

uređaji, usmjerivači, preklopnici itd. nužno unose ručno u GLPI bazu.

Prilikom inventure izgrađuje se i shema računalne mreže vidi sliku . Ona će

poslužiti kao temelj analize sadašnjeg sustava, izrade popisa ranjivosti, popisa

prijetnje, odrediti rizik, tj. kod detektiranja rizika.

http://www.glpi-project.org/spip.php


108

Slika 10. Shema računalne mreže

Napomena:

Za potrebe ovog rada shema računalne mreže je dovoljna, ali cjelovitija slika

računalne mreže je nužnost zbog prikupljanja dodatnih informacije kao npr. broj

priključnih mjesta (mrežnih utičnica) po razredima, fizički smještaj sklopovlja i

ostale informacije koje utječu na procjenu rizika.

Lista sklopovlja :

a) Preklopnici (switch)

Layer 2 upravljivi preklopnici

Cisco Catalyst 2950T 24 port 10/100 + 2 GB

3Com SuperStack 3 4200 24 port 10/100 + 2 GB)

Layer 2 neupravljivi preklopnici

24 port 10/100/1000 Asus GigaX1024P

2x 8 port 10/100/1000 Conceptronic

1x 8 port 10/100 Conceptronic


109

b) Usmjerivači

1x DSL modem Siemens T-Com

c) Wireless Lan oprema

2x AP Planet WAP 4000

d) Projektor

2x NEC NP4000

e) Pisači

1x Hp LaserJet 6p

1x Hp LaserJet P2015n

1x Samsung Samsung CLP-550N

1x Epson LQ-1170+

f) Računala

26x uredska računala

5x poslužitelj (eng. server) računala

16x tanki klijent

g) Ostali uređaji

1x fotokopirni stroj

1x faks uređaj

3x UPS (neprekidno napajanje)

h) Astronomija

1x teleskop

1x ST-7XMEI (kamera za teleskop)

3x Nagler okulara za teleskop (raznih dimenzija)

razni filtri i dodatna oprema za teleskop

2x uređaji za promatranje sunca

Lista usluga (servisa):

a) Informatičke usluge

DNS za vanjsku domenu www.nkg-zagreb.hr

WEB www.nkg-zagreb.hr

WEB e-pošta (eng. webmail)

AAI – LDAP imenički katalog


110

Forum NKG

Vatrozid – središnji na ulaznom usmjerivaču

Active Directory – za nutarnju domenu nkg.local i lokalni imenički

katalog

DHCP – za lokalnu mrežu

b) Ostale usluga unutar škole

Astronomija (promatranje svemira kroz teleskop)

Interaktivna nastava preko računala i projektora (nastava Fizike,

Kemije, Povijest, Biologija, Zemljopis)

Knjižnice (odvojeni prostori za profesore i učenike)

Procesi unutar NKG-a:

Računovodstvo – financijske transakcije, obrade plača i ostali slični

poslovi

Pedagog – pedagoška zapažanja učenika

Tajništvo – opći dokumenti

Ravnatelj – opći dokumenti

Novi procesi potrebni za uspostavu ISMS-a:

Upravljanje dokumentima (OpenDocMan)

Pronalaženje novih računala unutar računalne mreže i detekcija

sklopovlja (OCS inventory NG)

Popis imovine i nadzor iste (GLPI)

Lista incidenata:

problemi kvara sa tvrdim diskovima (eng. HDD)

problem više accounta (AAI, Active Directory, webmail)

problem kvara na bežičnom uređaju (eng. Wireless access point

problem kvara na matičnim pločama unutar računala

problem nestanka struje (slabi UPS uređaji)

problem skidanja nepoćudnog materijala s Interneta

problemi oko nemogućnosti ispisa dokumenta

zaboravljanje lozinki kod korisnika

problemi oko logiranja korisnika (velike korisničke profile-e)

standardna uspostava upravljanja sigurnosti u...

Documents